Wat is een zero-dayaanval?
Zero-dayaanvallen, ook wel “zero-day-exploits” genoemd, zijn succesvolle pogingen van cybercriminelen om nog onbekende softwarekwetsbaarheden op te sporen en uit te buiten. Helaas heeft alle software zwakke plekken die hackers als achterdeurtje kunnen gebruiken om malware door te sluizen naar systemen of gegevens te stelen. Aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar software-engineers eerder niet van op de hoogte waren, worden “zero-dayaanvallen” genoemd. De ontwikkelaars hebben namelijk nul dagen de tijd om het probleem te verhelpen voordat de aanval plaatsvindt.
Hoewel de definitie van een zero-dayaanval misschien wat onheilspellend klinkt, verschillen dit soort aanvallen technisch gezien niet veel van andere veelvoorkomende malwareaanvallen. Toch zijn zero-day-exploits bijzonder moeilijk op te sporen en te bestrijden. Dat komt eenvoudigweg doordat de bewuste kwetsbaarheid op het moment van de aanval nog niet bekend is bij de technici die de programmacode hebben geschreven. Daarom worden zero-daykwetsbaarheden actief door hackers opgespoord en misbruikt.
Wat is een softwarekwetsbaarheid?
Softwarekwetsbaarheden zijn gebreken in het ontwerp van programma’s, software of besturingssystemen, die cybercriminelen een gelegenheid bieden om een apparaat of netwerk te kraken. Zodra een kwetsbaarheid wordt ontdekt, haasten ontwikkelaars zich om het probleem te verhelpen. Door middel van een software-update, een zogeheten patch, wordt het achterdeurtje gesloten. In het ideale geval brengen ontwikkelaars patches aan voordat hackers de zwakke plek ontdekken en er misbruik van maken.
Niet alle softwarefouten zijn te misbruiken. Maar zodra een hacker een fout ontdekt die nog onbekend is bij de ontwikkelaars van de software, vormt de kwetsbaarheid een zero-daydreiging.
Er is bijna een constante strijd gaande tussen ontwikkelaars die kwetsbaarheden proberen te beperken en cybercriminelen die nieuwe gebreken en zwakke plekken willen uitbuiten. Zwakke plekken in de software kunnen niet volledig worden voorkomen. Maar met krachtige antivirussoftware kunnen dreigingen wel in realtime worden gedetecteerd en geëlimineerd. Ze bieden krachtige bescherming, zelfs tegen zero-day-exploits waarmee hackers uw systeem met malware proberen te ontregelen.
Waaraan herkennen hackers kwetsbaarheden?
Zodra een nieuw programma of een nieuwe software-update wordt uitgebracht, kun je er zeker van zijn dat hackers overuren maken om zwakke punten in de beveiliging of het ontwerp te vinden die kwetsbaar kunnen zijn voor exploits. Met elk uur dat verstrijkt, neemt de kans dat een nog onontdekte fout wordt gevonden af. Dat geldt ook voor de tijd die hackers hebben om een exploit te lanceren voordat ontwikkelaars een patch uitbrengen om hun de loef af te steken.
Cybercriminelen gaan actief op jacht naar gebreken in computercode. Dat doen ze met softwareprogramma’s, zoals geautomatiseerde statische analysers, waarmee kan worden vastgesteld of, hoe en waarom een bepaald stukje programmacode zich anders gedraagt dan de bedoeling is. Niet alle softwarefouten zijn te misbruiken. Maar zodra een hacker een fout ontdekt die nog onbekend is bij de ontwikkelaars van de software, vormt de kwetsbaarheid een zero-daydreiging.
Niet alle softwarekwetsbaarheden zijn te misbruiken. Sommige vragen erom gekraakt te worden, zoals het raam in het midden, terwijl andere te lastig zijn, zoals het raam aan de rechterkant.
Hackers zijn de hele tijd op zoek naar bruikbare kwetsbaarheden in populaire programma’s, webbrowsers en besturingssystemen om zoveel mogelijk gebruikers te treffen voordat het onderliggende probleem wordt gepatcht en opgelost. Een veelgebruikte techniek daarbij is phishing via e-mail. De ontvangers worden hiermee zonder het zelf te weten naar websites gelokt die een kwetsbaarheid bevatten. Hackers gebruiken phishing-technieken ook om mensen ertoe te verleiden schadelijke documenten te downloaden die zero-daykwetsbaarheden bevatten.
Hoe worden zero-dayaanvallen herkend?
Er is maar één betrouwbare manier om zero-day-exploits op te sporen en te bestrijden. De ontwikkelaars moeten zelf het zwakke punt in de software ontdekken en verhelpen voordat hackers de kans krijgen om er misbruik van te maken. Als een tot dan toe onbekende kwetsbaarheid eenmaal is ontdekt en een zero-dayaanval wordt ingezet, is het per definitie al te laat. Daarom besteden ontwikkelaars veel tijd en middelen om kwetsbaarheden op te sporen en deze onmiddellijk te verhelpen, waardoor de oorzaken van zero-dayaanvallen worden uitgeroeid.
Als een tot dan toe onbekende kwetsbaarheid eenmaal is ontdekt en een zero-dayaanval plaatsvindt, is het al te laat.
Zelfs nadat zero-dayaanvallen zijn geslaagd en de payload, doorgaans een vorm van malware, is afgeleverd, blijven ze vaak onontdekt totdat de symptomen van de infectie zichtbaar worden. Dit geldt met name voor apparaten en netwerken die op passieve, op handtekeningen gebaseerde antivirussoftware vertrouwen, waarmee alleen bestaande (of bekende) dreigingen worden opgespoord en in de kiem worden gesmoord.
Identificatie van en bescherming tegen de nieuwste gevaarlijke zero-daymalware in realtime vraagt om geavanceerdere antivirussoftware op basis van heuristiek, zoals die van AVG AntiVirus FREE. Daarmee worden bestanden onderzocht op verdachte kenmerken of patronen.
Zodra een zero-dayaanval is ontdekt, begint er een race tegen de klok waarbij beveiligingsteams en ontwikkelaars de schade zoveel mogelijk proberen te beperken. Cyberbeveiligingsteams haasten zich om zo snel mogelijk te achterhalen hoe de malware kan worden verwijderd en werken hun software bij met de nieuwe handtekening. Ook softwareontwikkelaars doen er alles aan om hun programmacode te patchen en verder misbruik te voorkomen. Hoe sneller dit allemaal gebeurt, des te groter de kans dat de gevolgen van de aanval kunnen worden beperkt, omdat er dan minder mensen worden blootgesteld.
Waarom zijn zero-dayaanvallen zo gevaarlijk?
Juist de onduidelijkheid over de gevolgen ervan maakt zero-dayaanvallen zo gevaarlijk. Als reactie op een aanval kan een softwareontwikkelaar een patch vervaardigen, maar wie al getroffen is heeft daar weinig aan. En aangezien zero-dayaanvallen meestal gericht zijn op software die net is uitgebracht, kan het een hele tijd duren voordat er een nieuwe patch beschikbaar komt om de zwakke plek te verhelpen. Eindgebruikers lopen daardoor een groot risico.
Daarbij komt dat veel traditionele antivirussystemen gebruikmaken van dreigingsdetectieprogramma’s waarmee kenmerkende handtekeningen met bekende cyberaanvallen worden vergeleken. Omdat zero-dayaanvallen gebruikmaken van nog onbekende kwetsbaarheden (en mogelijk onontdekte malware), kunnen ze niet alleen lange tijd onopgemerkt blijven, maar zijn ze ook veel moeilijker te bestrijden.
Een reden te meer waarom u uw antivirussoftware up-to-date moet houden. De beste antivirusprogramma’s maken gebruik van krachtige, geavanceerde heuristische scanbewerkingen. Daarmee kunnen onbekende dreigingen worden opgespoord en bestreden zodra deze opduiken en kunnen ook zero-dayaanvallen worden afgeslagen.
Dankzij geavanceerde dreigingsdetectie en doorlopende updates biedt AVG AntiVirus FREE geavanceerde beveiliging tegen alle mogelijke zero-dayaanvallen.
Komen zero-dayaanvallen veel voor?
Aangezien zero-day-exploits moeilijk te detecteren en te bestrijden zijn, is het niet verwonderlijk dat hackers er graag en veel gebruik van maken. Enkele van de ernstigste cyberaanvallen wereldwijd waren zero-dayaanvallen. Volgens recente onderzoeken is naar schatting ongeveer 30 procent van alle malwareaanvallen op zero-daykwetsbaarheden gericht.
Aangezien slechts een klein percentage van de bruikbare kwetsbaarheden wordt ontdekt, moge duidelijk zijn dat dit nog steeds een belangrijke potentiële groeisector voor cybercriminaliteit is. In het licht van de meest recente zero-dayaanvallen kunnen we concluderen dat dit type dreiging waarschijnlijk niet snel zal verdwijnen.
De meest geruchtmakende zero-dayaanvallen
De beruchtste zero-dayaanval was waarschijnlijk die op Sony Pictures in 2014. Wat nu precies de kwetsbaarheid was waardoor hackers konden binnendringen en de beveiliging van het bedrijf om de tuin konden leiden, is nog steeds in nevelen gehuld. Duidelijk is wel dat de hackersgroep bijna volledige toegang verkreeg tot het netwerk van Sony. Dit bleef maanden lang onopgemerkt, totdat er uiteindelijk een schat aan vertrouwelijke gegevens op straat kwam te liggen, waaronder de persoonsgegevens van medewerkers, interne e-mail, financiële gegevens en niet uitgebrachte filmscripts.
Als klap op de vuurpijl gebruikte de groep vervolgens malware om de harde schijven van het bedrijf te wissen en de netwerkinfrastructuur plat te leggen. De Sony-hack schetst een ontnuchterend beeld van wat zero-dayaanvallen kunnen aanrichten en laat zien waarom ze zo gevaarlijk zijn. Zelfs wanneer zero-day-exploits tegen zogenaamd veilige netwerken worden ingezet, kunnen ze lang onopgemerkt blijven.
De meeste zero-dayaanvallen trekken veel minder de aandacht, maar kunnen net zo verwoestend zijn. De recente CVE-2019-0797-exploit waarmee in 2019 het alomtegenwoordige Windows-besturingssysteem van Microsoft werd aangevallen, is kenmerkend voor het voortdurende kat-en-muisspel tussen cybercriminelen en ontwikkelaars.
De kwetsbaarheid in het besturingssysteem van Microsoft werd weliswaar snel ontdekt door cyberbeveiligingsprofessionals, maar toch slaagden hackers erin de volledige controle te krijgen over computers overal ter wereld. Binnen enkele weken bracht Microsoft een patch uit, maar de kwetsbaarheid bleef een groot risico voor gebruikers die hun software niet onmiddellijk bijwerkten.
Zodra de patch was uitgebracht, gingen de hackers op zoek naar gaten in de gepatchte software. Dat leidde slechts enkele maanden later tot een nieuwe zero-dayaanval op Windows.
Bescherming tegen zero-dayaanvallen
Het risico op zero-dayaanvallen is onmiskenbaar. Maar gelukkig kunt u maatregelen treffen om de dreiging tot een minimum te beperken.
U kunt uw computer het makkelijkst en eenvoudigst tegen zero-dayaanvallen beschermen door al uw programma’s, besturingssystemen en stuurprogramma’s steeds volledig bij te werken. Zero-daypatches zijn de doeltreffendste manier om door kwetsbaarheden veroorzaakte dreigingen uit de weg te ruimen, maar ze zijn alleen doeltreffend als u ook de laatste softwareversie gebruikt. Elke minuut dat u wacht met bijwerken loopt u nodeloos gevaar als gevolg van kwetsbaarheden die ontwikkelaars inmiddels hebben ontdekt en verholpen.
Maar hoe vaak u uw software ook bijwerkt om u tegen bekende dreigingen te beschermen, er zullen altijd nieuwe en onbekende dreigingen opduiken. Daarnaast is het onmogelijk om zero-dayaanvallen volledig uit te bannen. In plaats daarvan kunt u er beter voor zorgen dat uw beveiliging zo goed mogelijk is wanneer er een cyberaanval plaatsvindt. Daarom is het zo belangrijk dat u een degelijk cyberbeveiligingsprogramma gebruikt. Daarmee hebt u de grootste kans om dreigingen te detecteren en te onderscheppen voordat uw beveiliging in gevaar komt.
AVG AntiVirus FREE wordt niet alleen automatisch bijgewerkt wanneer er nieuwe dreigingen worden gevonden, maar gebruikt ook geavanceerde heuristische detectiemethoden om zelfs onbekende virussen te blokkeren en te verwijderen. Met AVG AntiVirus FREE kunt u met een gerust hart internetten want u weet dat uw apparaten altijd volledig beschermd zijn tegen zelfs de allernieuwste dreigingen.