Wat is een 'zero-day'-aanval? - Definitie en uitleg

'Zero-day': betekenis en definitie

'Zero-day' is een brede term waarmee recentelijk ontdekte beveiligingskwetsbaarheden worden beschreven die hackers kunnen gebruiken om systemen aan te vallen. De term 'zero-day' verwijst naar het feit dat de leverancier of ontwikkelaar de fout pas net heeft ontdekt, waardoor ze 'zero days' (nul dagen) de tijd hebben om de fout op te lossen. Een 'zero-day'-aanval vindt plaats wanneer hackers misbruik maken van de fout nog voordat de ontwikkelaars deze hebben opgelost.

'Zero-day' wordt soms geschreven als '0-day'. De woorden kwetsbaarheid, exploit en aanvallen worden vaak gebruikt in combinatie met 'zero-day', dus het is handig om het verschil te begrijpen:

• Een 'zero-day'-kwetsbaarheid is een softwarekwetsbaarheid die eerder door hackers is ontdekt dan door de leverancier. Aangezien leveranciers het niet in de gaten hebben, bestaat er nog geen patch voor de 'zero-day'-kwetsbaarheden, waardoor de kans groot is dat aanvallen slagen.
• Een 'zero-day'-exploit is de methode die hackers gebruiken om systemen aan te vallen die eerder te maken hadden met een onbekende kwetsbaarheid.
• Een 'zero-day'-aanval is het gebruik van een 'zero-day'-exploit om schade aan te brengen aan of gegevens te stelen uit een systeem dat te maken heeft met een kwetsbaarheid.

Wat zijn 'zero-day'-aanvallen en hoe werken 'zero-day'-aanvallen?

Software heeft vaak beveiligingskwetsbaarheden die hackers misbruiken om schade aan te brengen. Softwareontwikkelaars zijn altijd op zoek naar kwetsbaarheden om op te lossen door middel van patches, oftewel het vinden van een oplossing die middels een update beschikbaar wordt gemaakt.

Soms worden kwetsbaarheden echter gevonden door hackers of andere personen met kwaadwillende intenties voordat de softwareontwikkelaars deze zelf vinden. Zolang de kwetsbaarheid nog niet is opgelost, kunnen hackers code schrijven en implementeren om hier misbruik van te maken. Dit staat bekend als exploitcode.

De exploitcode kan ertoe leiden dat softwaregebruikers slachtoffer worden van de hackers, bijvoorbeeld door identiteitsfraude of andere vormen van cybercriminaliteit. Zodra hackers een 'zero-day'-kwetsbaarheid hebben gevonden, gaan ze op zoek naar een manier om toegang te krijgen tot het kwetsbare systeem. Dit gebeurt vaak via een e-mail waarin gebruik wordt gemaakt van social engineering, een e-mail of ander bericht dat afkomstig lijkt te zijn van een bekende of betrouwbare contactpersoon, maar die eigenlijk is verzonden door een hacker. In het bericht wordt geprobeerd om de gebruiker over te halen om een bestand te openen of een kwaadwillende website te bezoeken. Als de gebruiker dit doet, wordt er malware van de hacker gedownload die zich in de bestanden van gebruikers nestelt en vertrouwelijke gegevens steelt.

Wanneer een kwetsbaarheid wordt gevonden, proberen ontwikkelaars de aanval door middel van een patch te stoppen. Beveiligingskwetsbaarheden worden vaak echter niet meteen gevonden. Het kan soms dagen, weken of zelfs maanden duren voordat ontwikkelaars de kwetsbaarheid vinden die tot de aanval heeft geleid. Zelfs wanneer een 'zero-day'-patch beschikbaar wordt gesteld, wordt deze niet meteen door alle gebruikers geïmplementeerd. De afgelopen jaren kunnen hackers steeds sneller misbruik maken van kwetsbaarheden nadat deze worden ontdekt.

Exploits kunnen voor grote bedragen worden verkocht op het dark web. Zodra een exploit is ontdekt en er een patch beschikbaar is, wordt de term 'zero-day'-dreiging niet meer gebruikt.

'Zero-day'-aanvallen zijn vooral gevaarlijk omdat alleen de hackers zelf ervan op de hoogte zijn. Zodra ze een netwerk zijn binnengedrongen, kunnen criminelen meteen een aanval uitvoeren of wachten tot het meest geschikte moment.

Wie zit achter de 'zero-day'-aanvallen?

Afhankelijk van hun motivatie behoren kwaadwillende personen die 'zero-day'-aanvallen uitvoeren tot verschillende categorieën. Bijvoorbeeld:

• Cybercriminelen – hackers die geld willen verdienen
• Hacktivists – hackers die een politieke of sociale boodschap willen uitdragen en hier met een aanval meer aandacht voor willen vragen
• Bedrijfsspionage – hackers die bedrijven bespioneren om informatie over deze bedrijven te verzamelen
• Cyberoorlog – landen of politici die cyberinfrastructuur van andere landen bespioneren of aanvallen

Wie zijn de slachtoffers van 'zero-day'-exploits?

Met een 'zero-day'-hack kan misbruik worden gemaakt kwetsbaarheden in verschillende soorten systemen, waaronder:

• Besturingssystemen 
• Webbrowsers 
• Kantoortoepassingen
• Open-source-componenten
• Hardware en firmware
• Het internet der dingen (Internet of things, IoT) 

Dit zorgt voor een breed scala aan potentiële slachtoffers:

• Mensen die een kwetsbaar systeem gebruiken, zoals een browser of besturingssysteem. Hackers kunnen beveiligingskwetsbaarheden gebruiken om apparaten aan te tasten en grootschalige botnets te bouwen
• Personen met toegang tot waardevolle bedrijfsgegevens, zoals intellectueel eigendom
• Hardwareapparaten, firmware en het internet der dingen (Internet of things, IoT)
• Grote bedrijven en organisaties
• Overheidsinstellingen
• Politieke doelwitten en/of nationale beveiligingsrisico's

Het helpt om 'zero day'-aanvallen te splitsen in doelgerichte en niet-doelgerichte aanvallen:

• De doelwitten van doelgerichte 'zero-day'-aanvallen zijn potentiële waardevolle doelwitten, zoals grote organisaties, overheidsinstellingen of belangrijke personen.
• De doelwitten van niet-doelgerichte 'zero-day'-aanvallen zijn vaak gebruikers van kwetsbare systemen, zoals een besturingssysteem of browser.

Zelfs wanneer hackers geen specifieke personen als doelwit hebben, zijn er alsnog grote aantallen slachtoffers van 'zero-day'-aanvallen, meestal onbedoeld. Niet-doelgerichte aanvallen zijn bedoeld om zoveel mogelijk gebruikers slachtoffer te maken, waardoor de kans bestaat dat de gegevens van de gemiddelde gebruiker worden aangetast.

'Zero-day'-aanvallen identificeren

Aangezien 'zero-day'-kwetsbaarheden meerdere vormen kunnen aannemen, zoals ontbrekende gegevensversleuteling, ontbrekende verificatie, beschadigde algoritmen, bugs, problemen met wachtwoordbeveiliging enzovoorts, zijn deze lastig te detecteren. Gezien de aard van deze soorten kwetsbaarheden is gedetailleerde informatie over 'zero-day'-exploits pas beschikbaar nadat de exploit is ontdekt.

Organisaties die slachtoffer zijn van een 'zero-day'-exploit krijgen mogelijk te maken met onverwacht verkeer of verdachte scanactiviteiten door een client of service. Dit zijn een aantal technieken om 'zero-day'-exploits te detecteren:

1. Bestaande databases van malware gebruiken als referentie. Hoewel deze databases snel worden bijgewerkt en handig zijn als referentie, zijn 'zero-day'-exploits per definitie nieuw en onbekend. Een bestaande database biedt dus geen volledige informatie.
2. Sommige technieken gaan op zoek naar karakteristieken van 'zero-day'-malware op basis van hoe deze omgaat met het getroffen systeem. Met deze techniek wordt niet naar de code van inkomende bestanden gekeken, maar naar de interactie met bestaande software. Op basis hiervan wordt bepaald of de code kwaadwillend is.
3. Er wordt ook steeds vaker gebruikgemaakt van machine learning om gegevens van voorgaande geregistreerde exploits te detecteren. Zo wordt er een basislijn bepaald voor veilig systeemgedrag op basis van gegevens van voorgaande en huidige interacties met het systeem. Hoe meer gegevens er beschikbaar zijn, hoe betrouwbaarder deze detectie wordt.

Vaak wordt er een combinatie van verschillende detectiesystemen gebruikt.

Voorbeelden van 'zero-day'-aanvallen

Dit zijn een aantal recente voorbeelden van 'zero-day'-aanvallen:

2021: 'zero-day'-kwetsbaarheid bij Chrome

In 2021 had Chrome van Google te maken met een aantal 'zero-day'-dreigingen, waardoor Chrome updates beschikbaar stelde. De kwetsbaarheid was afkomstig van een bug in de V8 JavaScript-engine die in de webbrowser werd gebruikt.

2020: Zoom

Er werd een kwetsbaarheid gevonden in het populaire platform voor videoconferenties. Bij deze 'zero-day'-aanval konden hackers op afstand toegang krijgen tot de pc van gebruikers met een verouderde versie van Windows. Indien het doelwit een beheerder was, kon de hacker het gehele apparaat overnemen en toegang verkrijgen tot alle bestanden.

2020: Apple iOS

iOS van Apple wordt vaak omschreven als het veiligste smartphoneplatform. In 2020 werd iOS echter slachtoffer van twee sets 'zero-day'-kwetsbaarheden, waaronder een 'zero-day'-bug waarmee hackers op afstand iPhones konden overnemen.

2019: Microsoft Windows, Oost-Europa

Deze aanval was gericht op lokale bevoegdhedenescalatie, een kwetsbaar onderdeel van Microsoft Windows, met overheidsinstellingen in Oost-Europa als doelwit. De 'zero-day'-exploit maakte misbruik van een lokale bevoegdhedenkwetsbaarheid in Microsoft Windows, zodat willekeurige code werd uitgevoerd, toepassingen werden geïnstalleerd en gegevens van aangetaste toepassingen werden bekeken en gewijzigd. Zodra de aanval werd ontdekt en gemeld aan het Microsoft Security Response Center, werd een patch ontwikkeld en beschikbaar gesteld.

2017: Microsoft Word

Met deze 'zero-day'-exploit werd toegang verkregen tot persoonlijke bankrekeningen. De slachtoffers waren mensen die zonder het te weten een kwaadaardig Word-document openden. In het document werd een melding met 'externe inhoud laden' getoond. Gebruikers zagen een pop-upvenster waarin toestemming werd gevraagd voor externe toegang van een ander programma. Zodra slachtoffers op 'ja' klikten, werd er door het document malware op het apparaat gedownload, waarmee inloggegevens van bankaccounts konden worden vastgelegd.

Stuxnet

Een van de meest bekende voorbeelden van een 'zero-day'-aanval, is Stuxnet. Deze kwaadaardige computerworm werd in 2010 ontdekt, maar was al sinds 2005 aanwezig. De worm viel productiecomputers met PLC-software (programmable logic controller) aan. Het belangrijkste doelwit was een kerncentrale in Iran, om zo het nucleaire programma van het land plat te leggen. De worm infecteerde de PLC's aan de hand van kwetsbaarheden in Siemens Step7-software, waardoor de PLC's de machines langs de assemblagelijnen onverwachte opdrachten lieten uitvoeren. Over het verhaal van Stuxnet werd een documentaire genaamd Zero Days gemaakt.

Hoe kun je jezelf beschermen tegen 'zero-day'-aanvallen

Om jezelf, je computer en je gegevens te beschermen tegen 'zero-day', is het voor zowel personen als organisaties belangrijk om de best practices voor cyberveiligheid te volgen. De volgende informatie wordt vastgelegd:

Werk alle software en besturingssystemen bij naar de nieuwste versie. Dit is nodig omdat leveranciers beveiligingspatches beschikbaar stellen om recent ontdekte kwetsbaarheden op te lossen. Door je software bij te werken zorg je ervoor dat je veiliger bent.

Gebruik alleen toepassingen die je echt nodig hebt. Hoe meer software je gebruikt, hoe groter de kans op kwetsbaarheden. Je kunt het risico voor jouw netwerk beperken door alleen de toepassingen te gebruiken die je nodig hebt.

Gebruik een firewall. Een firewall speelt een belangrijke rol bij de bescherming van je systeem tegen 'zero-day'-dreigingen. Je kunt jezelf zo goed mogelijk beschermen door deze te configureren zodat alleen de vereiste transacties worden toegestaan.

Zorg dat gebruikers binnen organisaties weten hoe ze hun computer veilig houden. Veel 'zero-day'-aanvallen maken gebruik van menselijke fouten. Door werknemers goede gewoonten te leren met betrekking tot beveiliging, is de kans groter dat ze online veilig blijven en dat organisaties worden beschermd tegen 'zero-day'-exploits en andere digitale dreigingen.

Gebruik een uitgebreide antivirusoplossing. Kaspersky Total Security helpt je bij het veilig houden van je apparaten door bekende en onbekende dreigingen tegen te houden.

Gerelateerde artikelen:

• Wat is een trojan?
• Jezelf beschermen tegen cybercriminaliteit
• Wat is rootkit?
• Wat is een beveiligingsinbreuk?