Wat is een zeroday-kwetsbaarheid?

Het installeren van beveiligingsupdates is cruciaal om cybercriminelen buiten de deur te houden. Maar er zijn ook zwakke plekken waar nog geen patch voor is. Deze zogeheten zeroday-kwetsbaarheden maken gewiekste cyberaanvallen mogelijk. Wat zijn zerodays precies? En hoe beperkt u de risico’s voor uw organisatie?

Wat zijn zerodays?

Zerodays of 0-days zijn kwetsbaarheden in software, hardware of firmware waarvoor nog geen beveiligingsupdate beschikbaar is die de zwakke plek dicht. Dit betekent dat de systemen kwetsbaar zijn. Een zeroday-kwetsbaarheid kan bijvoorbeeld een fout in de code zijn die het voor hackers mogelijk maakt om data te stelen. 

Er duiken regelmatig nieuwe zerodays op. Zo ontdekte Project Zero, het team van Google dat naar deze kwetsbaarheden speurt, recent drie zerodays in Apple’s mobiele besturingssysteem iOS. Na een melding bij Apple werden deze kwetsbaarheden begin november gepatcht met de release van iOS 14.2. 

Waar komt de naam zeroday vandaan?

Zodra een nieuwe kwetsbaarheid aan het licht komt, kunnen hackers overal ter wereld proberen er misbruik van te maken. De softwareleverancier heeft vanaf dat moment dus eigenlijk ‘nul dagen’ de tijd om een patch te ontwikkelen en beschikbaar te stellen. 

Wat is het verschil met normale kwetsbaarheden?

Elke kwetsbaarheid in software, hardware of firmware is in potentie gevaarlijk. Maar het gros van de nieuwe kwetsbaarheden wordt gecontroleerd bekendgemaakt door de leverancier, op het moment dat de patch beschikbaar is. Via een strikt patchbeleid kunnen organisaties deze zwakke plekken dichten voordat ze een serieus risico vormen. Deze vlieger gaat helaas niet op voor zeroday-kwetsbaarheden. 

Wat is een zeroday-aanval?

Soms slagen hackers erin om een zeroday-kwetsbaarheid te misbruiken voordat de ontwikkelaar met een patch komt. Dit doen ze met een zeroday-exploit. Als iemand met die exploit een aanval uitvoert, spreken we van een zeroday-aanval. 

Een bekend voorbeeld van een geslaagde zeroday-aanval is de hack bij Sony Pictures Entertainment in 2014. Volgens bronnen rondom het onderzoek kregen de aanvallers via een onbekende kwetsbaarheid toegang tot het netwerk van de filmstudio. Vervolgens maakten ze gevoelige informatie openbaar, waaronder e-mails, gegevens van medewerkers en salarissen van bekende acteurs. 

Ook de veelbesproken hack bij de Democratische Nationale Conventie (DNC) in 2016 was te herleiden naar zerodays. Via meerdere kwetsbaarheden in programma’s zoals Flash en Java wisten hackers vertrouwelijke e-mails te bemachtigen van Democratische kopstukken, onder wie de toenmalige presidentskandidaat Hillary Clinton. De gestolen informatie werd gepubliceerd op WikiLeaks. 

Wie maken er gebruik van zeroday-exploits?

Voor de doorsnee cybercrimineel is het gebruik van zeroday-exploits niet rendabel. Het vinden van deze kwetsbaarheden kost namelijk veel tijd en moeite. Gevolg is dat actieve zeroday-exploits behoorlijk veel geld waard zijn. Zo werd in april 2020 een zeroday-exploit voor de Windows-app van videobeldienst Zoom te koop aangeboden. Het prijskaartje was maar liefst 500.000 dollar. 

Er wordt vooral grof geld betaald voor exploits waarmee aanvallers toegang krijgen tot apparaten en apps zonder dat de gebruiker hier iets van merkt. Dit is met name interessant voor statelijke actoren en geheime diensten. Zij gebruiken deze methode bijvoorbeeld om communicatie van criminelen, terroristen en politieke dissidenten te onderscheppen. Of voor spionage- en sabotagedoeleinden.

Wat doen softwareleveranciers tegen zerodays?

Softwareleveranciers zoeken actief naar kwetsbaarheden en proberen ze geheim te houden tot er een patch beschikbaar is. Ook moedigen ze ethische hackers aan om nieuwe kwetsbaarheden op een verantwoorde wijze te melden. Dit heet ‘responsible disclosure’. Veel leveranciers hebben zelfs een bug bounty-programma dat hackers financieel beloont voor het vinden van kwetsbaarheden. 

Dit beleid verkleint de kans dat hackers een zeroday-kwetsbaarheid ontdekken en voor veel geld een exploit aan dubieuze partijen verkopen, of er zelf aanvallen mee uitvoeren. Zij kunnen immers ook geld verdienen door de kwetsbaarheid bij de ontwikkelaar te melden. 

Hoe bescherm ik mijn organisatie tegen zerodays?

Allereerst blijft het essentieel om alle software up-to-date te houden. Feitelijk bent u daarmee nog niet beschermd tegen zeroday-aanvallen, maar zo zorgt u er in ieder geval voor dat de kwetsbaarheden zo snel mogelijk worden gedicht. Een strikt patchbeleid is dan ook een fundamenteel onderdeel van de basisbeveiliging van elke organisatie. 

Vanaf het moment dat een zeroday-kwetsbaarheid in de media verschijnt, groeit het risico op misbruik door cybercriminelen enorm. Het is dus belangrijk om het IT- en securitynieuws goed te volgen. Hoe sneller u kwetsbare systemen patcht, hoe kleiner de kans dat een cybercrimineel via de betreffende zeroday-kwetsbaarheid bij uw bedrijfsgegevens en -systemen komt.

Technische oplossingen helpen de risico’s rondom zerodays verder te beperken. Zo bieden een next-gen firewall en geavanceerde antimalware bescherming tegen zowel bekende als onbekende dreigingen. Deze oplossingen kunnen verdachte activiteit op het netwerk detecteren via gedragsanalyse. Ook als het bijvoorbeeld om een nieuwe malwarevariant gaat die een zeroday-kwetsbaarheid uitbuit.

Gerelateerde artikelen