Zero-day gaten komen veel vaker voor dan gedacht en worden soms jarenlang actief misbruikt voordat ze officieel bekend worden. Pas na de bekendmaking explodeert het aantal aanvallen via exploitkits.

Zero-day kwetsbaarheden worden agressiever misbruikt en komen vaker voor dan algemeen wordt aangenomen. Symantec-onderzoekers Leyla Bilge en Tudor Dimitras hielden vier jaar lang 11 miljoen computers in de gaten via het WINE-platform van de antivirusfabrikant. Daarmee verzamelden ze bewijs dat zero-days vaak zelfs al enkele jaren actief worden misbruikt voordat ze bekend worden. Na de openbaarmaking van het lek neemt het aantal aanvallen enorm toe.

Meer zero-days dan gedacht
De onderzoekers stellen (PDF) dat er veel onbekend is over zero-days, omdat data pas verzameld wordt vanaf het moment dat de kwetsbaarheid openbaar wordt gemaakt. Bilge en Dimitras keken juist terug naar wanneer de kwetsbaarheden voor het eerst opdoken in de pool van 11 miljoen computers.

Ze hebben in kaart gebracht welke executables het ontdekte gat misbruikten om een systeem te infecteren. Ze vonden deze terug in de verzamelde gegevens van het WINE-platform en konden zo zien wanneer de aanvallers ongeveer voor het eerst systemen belaagden. Als dat gebeurde nog voordat het lek officieel werd aangekondigd, is het gat dus actief misbruikt vóór het werd ontdekt.

Zo'n 60 procent van de kwetsbaarheden die de onderzoekers vonden waren nog niet officieel bekendgemaakt op het moment dat ze werden misbruikt. "Dit geeft aan dat er veel meer zero-day-exploits rondwaren dan hiervoor werd aangenomen, mogelijk tot twee keer zoveel", aldus de onderzoekers in hun rapportage.

De methode levert een aardige inkijk in het misbruik van zero-days. Het beeld is wel verre van compleet, onder andere omdat aanvallen die geen executable gebruiken om pc's te belagen niet worden meegenomen. De analyse miste zo een groot aantal exploits die gebruik maakten van infectiemethodes via internetsites, bijvoorbeeld via een drive-by installatie.

Voor exclusief gebruik
Een fraai voorbeeld is het gat in Windows dat de militaire malware Stuxnet gebruikte om industriële machines van Siemens in Iran te saboteren. In de zomer van 2010 werd het lek openbaar toen Stuxnet werd ontdekt. Een dag daarna verschenen exploitkits die de kwetsbaarheid misbruikten.

Het aantal varianten van de malware steeg naar bijna 3600 en in de testgroep van 11 miljoen computers werden 1,5 miljoen hosts aangevallen. Maar de eerste aanvallen via dit gat die de onderzoekers vaststelden dateerden al van begin 2008. Voordat het lek bekend werd, zijn er in twee jaar tijd 1100 aanvallen uitgevoerd in diezelfde groep. Dit is dus naderhand pas gededuceerd.

Het aantal aanvallen via zero days groeit explosief na de bekendmaking van het gat.

Pas na 'day zero' gaan de cybercriminelen met grof geschut schieten.


Zero-day gaten komen veel vaker voor dan gedacht en worden soms jarenlang actief misbruikt voordat ze officieel bekend worden. Pas na de bekendmaking explodeert het aantal aanvallen via exploitkits.


Bilge en Dimitras zien in de praktijk gebeuren dat de nog niet ontdekte gaten worden misbruikt voor specifieke aanvallen, bijvoorbeeld voor spionage-doeleinden. Voor cybersnoodaards die het gemunt hebben op grote bedrijven, is een zero-day vooral waardevol vóórdat hij bekend wordt. De marktwaarde van zo'n gat is tussen de 5.000 en 250.000 dollar, schrijven de onderzoekers.

Maar nadat zero-days bekend worden, verliezen ze hun populariteit niet, ook al verschijnen dan al snel workarounds en patches. De onderzoekers merken op dat zodra een zero-day geopenbaard wordt het misbruik ervan omhoog schiet. Dan gaan de cybercriminelen met grof geschut schieten op computers die met het internet zijn verbonden.

De levenscyclus van het misbruik van zo'n gat is dus langer dan algemeen wordt aangenomen. Na de onderzoeksperiode werden oude lekken nog altijd volop misbruikt. "De enige conclusie die we kunnen trekken is dat 4 jaar te kort is om alle fasen in de cyclus te observeren."

Openbaar of security-through-obscurity
De onderzoekers willen met het onderzoek onder meer de discussie aanzwengelen of het openbaar maken van dit soort gaten wel zo verstandig is. De gedachte daarachter is dat softwareproducenten problemen sneller patchen als ze eenmaal in de openbaarheid komen. Het nadeel daarvan is dat de hoeveelheid aanvallen en exploits gigantisch toeneemt na day zero. Wat de discussie nodig heeft, zeggen de onderzoekers, is data om te zien wat nu precies de impact is van het bekendmaken van het lek.

"We zetten hier de eerste stap om dat doel te bereiken door aan te tonen dat het openbaar maken van een zero-day een significant gevaar voor eindgebruikers oplevert, omdat het volume van aanvallen toeneemt met een factor van 5." Ze wijzen erop dat gebruikers en beheerders de patches die verschijnen meestal pas laat toepassen.

Aan de andere kant zorgen vroege openbaarmakingen ervoor dat zero-days voor kwaadwillenden minder waardevol zijn. Cybercriminelen betalen de exploit namelijk vaak via een licentiemodel waarbij de prijs afhankelijk is van of er patches voor het lek beschikbaar zijn.

Discussie responsible versus full disclosure
De resultaten van dit wetenschappelijk onderzoek bieden argumenten voor de discussie over de invloed van het bekendmaken van een zero-day op de veiligheid van internetgebruikers. Die discussie loopt al jarenlang. Op basis van het nu geopenbaarde onderzoek naar zero-days lijkt er dus veel te zeggen voor full disclosure.

De kwestie is echter niet klip en klaar. Volgens de onderzoekers is dit nog maar een begin. "Er is aanvullend onderzoek nodig om te kwantificeren wat de gevolgen zijn van full disclosure", schrijven zij. "Bijvoorbeeld door te meten hoe snel kwetsbare hosts worden gepatcht nadat de kwetsbaarheid is geopenbaard. Net als dit onderzoek van zero-day aanvallen is daarvoor grootschalig empirisch onderzoek nodig met uitgebreide data die in het wild is verzameld."

Patches afdwingen
Er zijn ook andere geluiden. Sommige security-onderzoekers zijn gefrustreerd over de traagheid waarmee bedrijven hun software patchen. Ook lang nadat lekken uitgebreid en al dan niet met geheimhouding bij hen zijn gemeld. In 2010 organiseerde een Russische onderzoeker de 'zero-day awareness' weken, waarin hij elke dag een lek publiceerde als protest tegen het trage patchen van bedrijven.

Ook de bekende security-onderzoeker Tavis Oramandy van Google is door traagheid - of zelfs laksheid - aangezet tot openbaarmaking. Hij maakte een groot gat in alle Windows-versies bekend omdat het patchen op zich liet wachten. Na zijn melding aan Microsoft in juni 2009 ging hij in januari 2010 over tot openbaarmaking. Door zijn actie laaide de oude discussie over full versus responsible disclosure flink op. Voor- en tegenstanders van full disclosure gingen in de clinch.

Onlangs is Microsoft er nog van beschuldigd dat het een gat in zijn Windows-browser Internet Explorer maandenlang open heeft laten staan. Een patch kwam pas toen het lek in de openbaarheid werd gebracht en cybercriminelen er daadwerkelijk gebruik van maakten.