Hva er en null-dagers sårbarhet?
En null-dagers sårbarhet er en programvaresikkerhetsfeil som leverandøren eller utvikleren nettopp har oppdaget, så de har ikke hatt tid til å lage eller utgi en oppdatering. Siden det ennå ikke finnes noen løsning, kan nettkriminelle utnytte disse feilene til å lansere angrep som er vanskelige å oppdage og stoppe.
For eksempel viste WannaCry løsepengeangrepet i mai 2017 hvor skadelige null-dagers sårbarheter kan være. Dette verdensomspennende angrepet rammet mer enn 200 000 datamaskiner i 150 land ved å bruke en Windows-feil før mange organisasjoner kunne oppdatere systemene sine.
Nøkkelfunksjoner ved en null-dag
- Ukjent for leverandøren: Programvareskaperen er uvitende om at feilen eksisterer før et angrep skjer eller det blir avslørt av forskere.
- Ingen tilgjengelig oppdatering: Det finnes ingen offisiell sikkerhetsoppdatering eller “fiks” på tidspunktet for oppdagelsen.
- Høy risiko: Vanlige antivirusverktøy som bruker kjente trussel-signaturer, oppdager ofte ikke null-dagers utnyttelser fordi disse truslene er nye og ukjente.
- Umiddelbar trussel: Angripere har en klar fordel inntil en oppdatering er utgitt og anvendt.
Hvordan et null-dagers angrep fungerer
En null-dagers trussel følger vanligvis en tidslinje kalt ‘Sårbarhetsvinduet.’
- Sårbarhet Introdusert: En utvikler skriver utilsiktet kode som inneholder en sikkerhetsfeil (f.eks. en buffer overflow eller SQL-injeksjon gap).
- Utnyttelse Opprettet: En angriper finner feilen før leverandøren eller sikkerhetsforskere legger merke til den. De lager deretter en ‘Zero Day Exploit,’ som er kode laget for å utnytte denne svakheten.
- Angrep Igangsatt: Angriperen bruker et ‘Zero Day Attack’ på visse mål eller til og med over internett. På dette tidspunktet kan standard sikkerhetsskanninger ofte ikke se angrepet.
- Oppdagelse & Avsløring: Leverandøren lærer til slutt om feilen, enten gjennom et bounty-program, en sikkerhetsforsker, eller ved å oppdage et aktivt angrep.
- Patch Utgitt: Leverandøren utvikler og distribuerer en sikkerhetsoppdatering. Når patchen er tilgjengelig, er feilen ikke lenger en “zero day” men blir en “kjent sårbarhet” (ofte tildelt et CVE-nummer).
Hvorfor Zero-Day Sårbarheter Betyr Noe i Cybersikkerhet
Zero-day sårbarheter er blant de mest alvorlige risikoene for organisasjoner fordi de omgår hovedforsvaret, som er patch management.
- Omgåelse av forsvar: Fordi eldre sikkerhetsverktøy er avhengige av kjente trusseldatabaser, kan null-dagers angrep slippe gjennom brannmurer og endepunktbeskyttelse ubemerket.
- Høy verdi: Disse utnyttelsene er svært verdifulle på det mørke nettet. Nasjonalstatshackere og avanserte vedvarende trusselgrupper (APT) beholder dem ofte for å bruke mot viktige mål som kritisk infrastruktur eller regjeringsnettverk.
- Operasjonell innvirkning: Å fikse en null-dagers sårbarhet betyr ofte nød-nedetid, bruk av manuelle løsninger, eller til og med å ta systemer offline til en oppdatering er klar.
Null-dagers vs. kjente sårbarheter
| Funksjon | Null-dagers sårbarhet | Kjent sårbarhet (N-dag) |
|---|---|---|
| Status | Ukjent for leverandør/offentligheten | Offentliggjort |
| Oppdatering tilgjengelig | Ingen | Oppdatering finnes (men kan ikke være anvendt) |
| Deteksjon | Vanskelig (krever atferdsanalyse) | Enkel (signaturbasert deteksjon) |
| Risikonivå | Kritisk / Alvorlig | Variabel (avhenger av oppdateringsstatus) |
Relaterte termer
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
FAQ: Null-dagers sårbarhet
Q: Hva er forskjellen mellom en zero-day sårbarhet og en zero-day utnyttelse?
Sårbarheten er en feil i selve programvarekoden. Utnyttelsen er den faktiske koden eller teknikken som angripere bruker for å utnytte en feil og bryte inn i et system.
Q: Hvordan kan jeg beskytte meg mot zero-day angrep hvis det ikke finnes noen oppdatering?
Fordi du ikke kan oppdatere noe du ikke vet om, avhenger beskyttelsen av å bruke flere lag med forsvar:
- Bruk Web Application Firewalls (WAF) for å blokkere mistenkelige trafikkmønstre.
- Implementer Runtime Application Self-Protection (RASP).
- Bruk atferdsanalyse i stedet for bare signaturbasert deteksjon.
- Oppretthold en streng hendelsesresponsplan for å reagere raskt når en zero-day blir avslørt.
Q: Kan antivirusprogramvare oppdage zero-day angrep?
Tradisjonell antivirusprogramvare som kun bruker ‘signaturer’ (som er som fingeravtrykk av kjent skadelig programvare) kan ikke finne zero-day trusler. Imidlertid kan moderne Endpoint Detection and Response (EDR) verktøy som bruker AI og overvåker uvanlig oppførsel ofte oppdage zero-day angrep, som uventet filkryptering eller uautorisert dataoverføring.