Zero-Day Attack-definitie
Wat is een zero-day-aanval?
Een zero-day-aanval (ook wel Day Zero genoemd) is een aanval die misbruik maakt van een potentieel ernstige zwakte in de softwarebeveiliging waarvan de leverancier of ontwikkelaar zich misschien niet bewust is. De softwareontwikkelaar moet zich haasten om de zwakte op te lossen zodra deze wordt ontdekt om de bedreiging voor softwaregebruikers te beperken. De oplossing wordt een softwarepatch genoemd. Zero-day-aanvallen kunnen ook worden gebruikt om de internet van dingen (IoT).
Een zero-day-aanval dankt zijn naam aan het aantal dagen dat de softwareontwikkelaar van het probleem op de hoogte is.
Belangrijkste leerpunten
- Een zero-day-aanval is een softwaregerelateerde aanval die misbruik maakt van een zwakte waarvan een leverancier of ontwikkelaar zich niet bewust was.
- De naam komt van het aantal dagen dat een softwareontwikkelaar van het probleem op de hoogte is.
- De oplossing voor het oplossen van een zero-day-aanval staat bekend als een softwarepatch.
- Zero-day-aanvallen kunnen worden voorkomen, maar niet altijd, via antivirussoftware en regelmatige systeemupdates.
- Er zijn verschillende markten voor zero-day-aanvallen, variërend van legaal tot illegaal. Ze omvatten de witte markt, de grijze markt en de donkere markt.
Een zero-day-aanval begrijpen
Bij een zero-day-aanval kan malware, adware, spyware of ongeautoriseerde toegang tot gebruikersinformatie. Gebruikers kunnen zichzelf beschermen tegen zero-day-aanvallen door hun software, inclusief besturingssystemen, antivirussoftware, en internetbrowsers - om automatisch bij te werken en door alle aanbevolen updates onmiddellijk te installeren buiten de reguliere geplande updates.
Dat gezegd hebbende, zal het hebben van bijgewerkte antivirussoftware een gebruiker niet noodzakelijkerwijs beschermen tegen een zero-day-aanval, omdat totdat de kwetsbaarheid van de software publiekelijk bekend is, de antivirussoftware mogelijk geen manier heeft om te detecteren het. Host-intrusion-preventiesystemen helpen ook om te beschermen tegen zero-day-aanvallen door inbraak te voorkomen en te verdedigen en gegevens te beschermen.
Beschouw een zero-day-kwetsbaarheid als een ontgrendelde autodeur waarvan de eigenaar denkt dat deze is vergrendeld, maar een dief ontdekt dat deze ontgrendeld is. De dief kan onopgemerkt binnenkomen en dingen stelen uit het dashboardkastje of de kofferbak van de autobezitter die pas dagen later worden opgemerkt, wanneer de schade al is aangericht en de dief allang verdwenen is.
Hoewel bekend is dat zero-day-kwetsbaarheden worden uitgebuit door criminele hackers, kunnen ze ook worden uitgebuit door veiligheidsinstanties van de overheid die ze willen gebruiken voor surveillance of aanvallen. In feite is er zoveel vraag naar zero-day kwetsbaarheden van veiligheidsinstanties van de overheid dat ze helpen om de markt te stimuleren voor het kopen en verkopen van informatie over deze kwetsbaarheden en hoe deze te exploiteren hen.
Zero-day exploits kunnen openbaar worden gemaakt, alleen aan de softwareleverancier worden bekendgemaakt of aan een derde partij worden verkocht. Als ze worden verkocht, kunnen ze worden verkocht met of zonder exclusieve rechten. De beste oplossing voor een beveiligingsfout, vanuit het perspectief van het softwarebedrijf dat ervoor verantwoordelijk is, is een ethische hacker of white hat om de fout privé aan het bedrijf bekend te maken, zodat deze kan worden verholpen voordat criminele hackers deze ontdekken. Maar in sommige gevallen moet meer dan één partij de kwetsbaarheid aanpakken om deze volledig op te lossen, zodat een volledige privé-openbaarmaking onmogelijk kan zijn.
Markten voor zero-day-aanvallen
In de donkere markt voor zero-day informatie wisselen criminele hackers details uit over hoe ze kwetsbare software kunnen doorbreken om waardevolle informatie te stelen. In de grijze markt, onderzoekers en bedrijven verkopen informatie aan legers, inlichtingendiensten en wetshandhavers. Op de witte markt betalen bedrijven white hat-hackers of beveiligingsonderzoekers om te detecteren en openbaar te maken softwarekwetsbaarheden voor ontwikkelaars, zodat ze problemen kunnen oplossen voordat criminele hackers ze kunnen vinden hen.
Afhankelijk van de koper, de verkoper en het nut, kan zero-day-informatie een paar waard zijn duizenden tot enkele honderdduizenden dollars, waardoor het een potentieel lucratieve markt is om deel te nemen in. Voordat een transactie kan worden voltooid, moet de verkoper een proof-of-concept (PoC) overleggen om het bestaan van de zero-day-exploit te bevestigen. Voor degenen die onopgemerkt zero-day-informatie willen uitwisselen, is de Tor-netwerk maakt het mogelijk om zero-day transacties anoniem uit te voeren met behulp van Bitcoin.
Zero-day-aanvallen zijn misschien minder bedreigend dan ze lijken. Overheden hebben misschien eenvoudigere manieren om hun burgers te bespioneren en zero-days zijn misschien niet de meest effectieve manier om bedrijven of individuen uit te buiten. Een aanval moet strategisch en zonder medeweten van het doelwit worden ingezet om maximaal effect te hebben. Het ontketenen van een zero-day-aanval op miljoenen computers tegelijk kan het bestaan van de kwetsbaarheid aan het licht brengen en ervoor zorgen dat een patch te snel wordt vrijgegeven zodat de aanvallers hun uiteindelijke doel kunnen bereiken.
Voorbeeld uit de echte wereld
In april 2017, Microsoft werd op de hoogte gebracht van een zero-day-aanval op zijn Microsoft Word-software. De aanvallers gebruikten een malware genaamd Dridex bankier trojan om een kwetsbare en niet-gepatchte versie van de software te misbruiken. Met de trojan konden de aanvallers kwaadaardige code invoegen in Word-documenten die automatisch werden geactiveerd toen de documenten werden geopend. De aanval werd ontdekt door antivirusleverancier McAfee, die Microsoft op de hoogte bracht van zijn gecompromitteerde software. Hoewel de zero-day-aanval in april werd opgegraven, waren sinds januari al miljoenen gebruikers het doelwit.