Nulldagssårbarheter, ofte omtalt som «zero-day vulnerabilities» på engelsk, refererer til sikkerhetshull i programvare som utviklerne ikke har kjennskap til. Begrepet «nulldag» indikerer at utviklerne har null dager på seg til å fikse sårbarheten etter at den er blitt offentlig kjent, siden angriperne allerede kan ha begynt å utnytte sikkerhetshullet før det blir oppdaget og en patch (lapp eller fiks) er utviklet.

Disse sårbarhetene er spesielt kritiske fordi det ikke finnes noen kjent løsning eller beskyttelse mot angrep som utnytter dem på det tidspunktet de blir oppdaget. Angripere kan utnytte nulldagssårbarheter til å utføre ulike typer ondsinnede handlinger, som å stjele sensitive data, installere skadelig programvare, eller få uautorisert tilgang til systemer og nettverk.

Eksempler på cyberangrep basert på nulldagssårbarheter

Det har vært flere høyprofilerte dataangrep der utnyttelse av nulldagssårbarheter spilte en sentral rolle. Her er noen kjente eksempler:

Stuxnet

Stuxnet er et av de mest kjente eksemplene på et dataangrep der nulldagssårbarheter ble utnyttet. Dette ondsinnede dataviruset ble oppdaget i 2010 og var rettet mot overvåkings- og kontrollsystemer brukt i industrielle miljøer. Stuxnet utnyttet flere nulldagssårbarheter i Windows-operativsystemet for å spre seg og sabotere sentrifuger brukt i Irans atomprogram.

WannaCry

I mai 2017 rammet WannaCry over 230 000 datamaskiner i over 150 land. Angrepet utnyttet en nulldagssårbarhet i Windows SMB-protokollen, kjent som EternalBlue, som tillot ekstern kodeeksekvering. Selv om Microsoft hadde utgitt en sikkerhetsoppdatering for å tette sårbarheten to måneder før angrepet, hadde mange systemer fortsatt ikke blitt oppdatert.

NotPetya

Kort tid etter WannaCry, i juni 2017, spredte NotPetya seg raskt og forårsaket omfattende skade. Selv om det lignet på ransomware, var NotPetya primært rettet mot å ødelegge systemer. Det utnyttet også EternalBlue-sårbarheten, i tillegg til en annen nulldagssårbarhet i Windows for å oppnå administratorrettigheter.

SolarWinds

I 2020 ble det avslørt et sofistikert og målrettet cyberangrep mot SolarWinds, en amerikansk programvareutvikler. Angriperne klarte å injisere skadelig kode i SolarWinds’ Orion-programvare, som deretter ble distribuert til tusenvis av deres kunder gjennom en programvareoppdatering. Selv om det ikke utelukkende baserte seg på nulldagssårbarheter, demonstrerte angrepet effektiviteten av å utnytte ukjente sårbarheter i mye brukt programvare.

Hva er fordelen for en angriper med nulldagssårbarheter?

Hackere bruker nulldagssårbarheter av flere grunner, deriblant effektiviteten og det potensielt store utbyttet av angrep som utnytter disse sikkerhetshullene. Disse sårbarhetene representerer ukjente hull i sikkerheten til programvare eller systemer, noe som gjør dem spesielt verdifulle for angripere av flere grunner.

• Ingen kjente løsninger: Siden nulldagssårbarheter ikke er kjent for offentligheten eller programvareutviklerne før de blir oppdaget og utnyttet, finnes det ingen patches eller rettelser. Dette gir angripere en unik mulighet til å utnytte sårbarheten før en løsning blir tilgjengelig.
• Bredt angrepsvindu: Det kan ta tid før en sikkerhetsfiks blir utviklet, testet, utgitt, og implementert av brukerne. I løpet av denne tiden er systemer og enheter sårbare for angrep.
• Høy suksessrate: Uten eksisterende beskyttelse er sjansen for at et angrep lykkes, betydelig høyere sammenlignet med kjente sårbarheter som det allerede finnes beskyttelse mot.
• Målrettet angrepspotensial: Nulldagssårbarheter er spesielt attraktive for målrettede angrep mot spesifikke organisasjoner eller individer, inkludert regjeringer, industrianlegg, og finansielle institusjoner, som kan gi tilgang til verdifull informasjon eller strategiske fortrinn.

På grunn av disse egenskapene har nulldagssårbarheter også en økonomisk verdi på det svarte markedet, blant statsaktører, og i sikkerhetsindustrien.

Det svarte markedet

Hackere og kriminelle grupper kan kjøpe og selge informasjon om nulldagssårbarheter for å utnytte dem i ulovlige aktiviteter. Prisene varierer sterkt avhengig av sårbarhetens potensiale for utbytte og den påvirkede programvarens utbredelse.

Statsstøttede aktører

Nasjonalstaters etterretningstjenester og militære grupper er interesserte i å skaffe seg slike sårbarheter for spionasje, cyberkrigføring, og for å styrke nasjonal sikkerhet. De kan betale store summer for verdifulle nulldagssårbarheter.

Bug Bounty-programmer

Noen selskaper tilbyr belønninger til forskere som rapporterer nulldagssårbarheter direkte til dem gjennom bug bounty-programmer. Dette bidrar til å forbedre produktsikkerheten ved å sørge for at sårbarhetene blir korrigert før de kan bli utnyttet.

Hvordan beskytte seg mot angrep som utnytter nulldagssårbarheter?

Å beskytte seg mot angrep som utnytter nulldagssårbarheter kan være utfordrende, gitt at disse sårbarhetene er ukjente til de blir oppdaget. Imidlertid kan man bruke beste praksis for å redusere risikoen og beskytte sine systemer og data mot slike trusler.

Patch- og oppdateringsstyring

Selv om nulldagssårbarheter ved definisjon ikke har en tilgjengelig patch ved oppdagelsen, er det viktig å raskt implementere sikkerhetsoppdateringer så snart de blir tilgjengelige. Automatisere oppdateringsprosesser kan bidra til å sikre at systemer holder seg beskyttet mot kjente sårbarheter.

Sikkerhetsprogramvare

Bruk av avanserte sikkerhetsløsninger, inkludert antivirus og anti-malware programvare, samt inntrengningsdeteksjonssystemer (IDS) og inntrengningsforebyggingssystemer (IPS) som kan oppdage og blokkere mistenkelig aktivitet, selv om den ikke er knyttet til en kjent sårbarhet.

Prinsippet om minste tilgang

Begrens brukernes tilgangsrettigheter til kun det som er nødvendig for deres oppgaver. Dette reduserer risikoen for at et nulldagssårbarhetsangrep kan spre seg eller forårsake omfattende skade.

Segmentering av nettverk

Ved å dele opp nettverket i mindre segmenter, kan du begrense en angripers bevegelse gjennom nettverket og redusere omfanget av et potensielt angrep.

Sikkerhetskopier

Regelmessige sikkerhetskopier av kritisk data kan sikre at man kan gjenopprette data fra et angrep uten betydelig tap eller avbrudd.

Zero Trust-arkitektur

Implementer en «aldri stol, alltid verifiser»-tilnærming til nettverkssikkerhet, som ikke antar at interne systemer automatisk er sikrere enn eksterne systemer. Dette inkluderer streng brukerautentisering og -autorisasjon før tilgang til ressurser blir gitt.

Sikkerhetsbevissthet og opplæring

Utdann ansatte om de siste truslene og beste praksiser for cybersikkerhet, inkludert farene ved phishing-angrep som kan utnytte nulldagssårbarheter.