Null-dagers sårbarheter

A zero-day sårbarhet er en sikkerhetsfeil som den berørte leverandøren ikke vet om - "null dager" er antall dager siden leverandøren ble klar over. Begrepet betyr noen ganger spesifikt at sårbarheten også blir utnyttet aktivt (en "nulldag i naturen"), andre ganger bare perioden før en patch eksisterer.

Livssyklusen

1. Discovery. Noen — en forsker, en angriper, en etterretningstjeneste bug.
2. Decision. Finneren velger hva han skal gjøre: rapportere til leverandøren (ansvarlig avsløring), selge til en utnyttelsesmegler, bruke utnyttelsen selv, sitte på den.
3. Pre-disclosure period. Hvis leverandøren har rapportert, noen ganger negoti-tid, noen ganger 0 dager. fikse. Hvis den holdes privat, er denne perioden åpen.
4. Aktiv utnyttelse, hvis aktuelt. Angripere som bruker utnyttelsen mot ekte mål. Kan skje under forhåndsavsløring eller etter.
5. Vendor patcher. Fix er utgitt, ofte med en CVE tildelt.
6. Disclosure. Forskere og leverandør publiserer detaljer, slik at andre forsvarere kan oppdage mitigate.
7. Mass exploitation. Nå-offentlige detaljer gjør den tilgjengelig for mindre sofistikerte angripere; upatchede systemer blir massemål.

Peroden for avsløring er den farlige. Leverandøren vet eller ikke; forskere har ikke deteksjonssignaturer; forsvarere kan ikke ta spesifikke tiltak.

Hvor mye zero-days er verdt

Tto markeder:

• Bug-premieprogrammer betaler $5K-$200K for typiske kritiske sårbarheter. Toppnivå (Apple Security Research, Googles Vulnerability Reward Program) betaler opptil $1M-2M for full kjedeutnyttelse.
• Exploit-meglere som Zerodium, Crowdfense og NSO Groups forskningsarm betaler $500K-$2,5M for de mest-verdibare kjedekategoriene for iOS, Android-nettleser, RCE escapes.

Gråmarkedsprisen for seriøse nulldager overstiger betydelig legitime dusører. Prisforskjellen skaper et etisk dilemma for forskere som finner dem. Å selge til meglere betyr at feilen forblir utnyttet; rapportering til leverandøren betyr at det blir fikset. Ulike forskere gjør forskjellige valg av forskjellige grunner.

Hvem bruker zero-days

• Nasjonsstatlige etterretningsbyråer. NSA, GCHQ, FSB, MSS og tilsvarende opprettholder offensive cyberteam som kjøper eller utvikler zero-days. Vault 7-lekkasjen avslørte CIAs TAO-verktøysett; Snowden-avsløringene avslørte lignende i NSA-skala.
• Commercial cyber-leiesoldater. NSO Group (Pegasus), Cellebrite, Cyt rox, Candiru — selger bedrifter til offentlige kunder. Flere har blitt sanksjonert av den amerikanske regjeringen.
• Ransomware-grupper. Bruker i økende grad null-dager for førstegangstilgang. 2023 Cl0p MOVEit-utnyttelsen rammet hundrevis av organisasjoner.
• Advanced persistent threat (APT)-grupper. Langvarige nasjonsstattilknyttede team som forhåndsposisjonerer seg ved å utnytte nulldager for fremtidig bruk.XPLZ17PLZPLZ1XXXMajor zeroZ19XXDay hendelser
  • Stuxnet (2010) — Fire Windows zero-days pluss Siemens PLC-utnyttelser. Brukt mot iransk kjernefysisk berikelse.
  • Pegasus nullklikk iOS-utnyttelse (flere, 2016-2024) — NSO Groups iOS-utnyttingskjeder, brukt mot journalister og aktivister over hele verden.XPLZlarSolar29PLZXX000000000 (2020) — Supply-chain-angrep som involverer null dager i byggepipeline.
  • ProxyLogon / ProxyShell (2021) — Microsoft Exchange Server-sårbarheter ble utnyttet massevis før patcher ble distribuert i stor utstrekning.Log4XXShell (2021) — Kritisk Java-loggingsbibliotekssårbarhet; utbredt utnyttelse i løpet av dager.
  • MOVEit Transfer (2023) — Cl0p-gruppens utnyttelse rammet tusenvis av organisasjoner.
  • iOS Lockdown Mode som utløser hendelser (2022-2025) introduserte Apple-kjeden til flere, såph8isticx hardnet mode.

  The patch-window race

  Etter at en null-dag er avslørt og lappet, følger masseutnyttelse ofte innen timer-til-dager. Angriperne reverserer oppdateringen, identifiserer den sårbare kodebanen og utvikler fungerende utnyttelser. Forsvarere som raser for å lappe møter asymmetrien: angripere trenger bare å finne uopprettede systemer, forsvarere må lappe alle systemer.

  Vinduet for avslørt-patchet-til-masseutnyttelse har krympet. ProxyShell gikk fra avsløring til masseutnyttelse på dager. Log4Shell ble utnyttet før mange systemadministratorer hadde hørt om det.

  Hva forsvarere kan gjøre

  Generisk forsvar som reduserer nulldagers innvirkning:

  • Sandboxing.Sandboxing. Selv en vellykket dokumentvisning har begrenset dokumentvisning (nettleser) reach.
  • Defense in depth. Ingen enkelt sårbarhet gir full tilgang hvis den lagdelte arkitekturen er forsvarlig.
  • Nettverkssegmentering. En kompromittert vert når mindre av nettverket. Se vår -segmenteringsartikkel.
  • Atferdsdeteksjon. Moderne EDR fanger opp ondsinnet atferd selv uten spesifikke signaturer.
  • Ttrusselintelligens-feeder. Når det er publisert tidligere kompromisser for organisasjoner inntrenging.
  • Apple Lockdown Mode og tilsvarende. For personer med høy risiko (journalister, aktivister, ledere), deaktiverer herding på plattformnivå høyrisikofunksjoner.
  • Patch løsner eksponeringsvinduet raskt. er den største enkeltvariabelen.

  Avsløringsdebatten

  Ansvarlige avsløringsnormer er veletablerte, men omstridt i marginene:

  • Google Project Zero bruker en frist på 90 dager med 14 dager. Avsløring skjer enten leverandøren har lappet eller ikke.
  • Noen forskere foretrekker kortere tidslinjer (60 dager) eller lengre (180 dager) avhengig av alvorlighetsgrad.
  • Koordinert avsløring (leverandør + forsker + nedstrøms berørte parter) tar lengre tid, men reduserer avsløring103"XPLZ"XPLZ103"XPLZ"XPLZ103"XPLZ"XPLZ103"XPLZ"XPLZ"XPLZ103"XPLZ"XPLZ"XPLZ"XPLZ"XPLZ"XPLZ103"XPLZ"XPLZ"XPLZ"
  • PLZ" uten forvarsel brukes noen ganger mot leverandører som gjentatte ganger unnlater å adressere rapporter.

  Etikken er forskjellig på tvers av konteksten. Den delte normen: leverandører bør fikse sårbarheter umiddelbart; forskere bør gi dem en sjanse; det bredere samfunnet bør vite etter at oppdateringen eksisterer.