Hogyan működnek a zéró napos támadások – és miért kerülnek milliókba
A zéró napos támadások a szoftverek gyártók által ismeretlen hibáit célozzák, így nincs idő a javításra. Ez az ismertető bemutatja, hogyan fedezik fel, fegyverezik fel, kereskednek velük árnyékpiacokon, és hogyan védekeznek ellenük.
A hiba, amiről senki sem tud
Minden szoftver hibákkal kerül forgalomba. A legtöbb ártalmatlan. De időnként létezik egy olyan hiba, amely lehetővé teszi a támadó számára, hogy megkerülje a biztonságot, adatokat lopjon, vagy átvegye egy teljes rendszer irányítását – és a védekező oldalon senki sem tud róla. Ezt a hibát zéró napos sebezhetőségnek nevezik, és az ezt kihasználó kódot zéró napos támadásnak. A név arra utal, hogy a szoftvergyártónak nulla napja volt a probléma megoldására, mert még nem tud róla.
A zéró napos sebezhetőségek a kiberbiztonsági fenyegetések hierarchiájának csúcsán helyezkednek el. A ismert sebezhetőségekkel ellentétben, amelyeket javítani lehet, a zéró napos sebezhetőség a támadók számára azonnali védelem nélküli lehetőséget kínál. A Google Threat Intelligence Group szerint 2025-ben egyedül 90 zéró napos sebezhetőséget használtak ki a valóságban – szemben az előző évi 78-cal.
Hogyan születik egy zéró napos sebezhetőség
Az életciklus a szoftverfejlesztés során kezdődik, amikor egy kódolási hiba, tervezési hiba vagy figyelmetlenség kihasználható gyengeséget hoz létre. A sebezhetőség hónapokig vagy évekig lappanghat, amíg valaki fel nem fedezi. Ez a valaki lehet biztonsági kutató, automatizált szkennelő eszköz vagy rosszindulatú hacker.
A következő lépés attól függ, hogy ki találja meg először. Az életciklus hat szakaszban zajlik:
- Bevezetés – Egy hiba véletlenül bekerül a szoftverbe.
- Felfedezés – Egy kutató vagy támadó azonosítja a gyengeséget.
- Kihasználás – Ha a támadók találják meg először, akkor egy támadást építenek és telepítenek, mielőtt bárki más tudná.
- Nyilvánosságra hozatal – A hibát jelentik a gyártónak (felelős nyilvánosságra hozatal), vagy nyilvánosan közzéteszik.
- Javítás kiadása – A gyártó biztonsági frissítést fejleszt és tesz közzé.
- Javítás alkalmazása – A szervezetek tesztelik és telepítik a javítást rendszereikben.
A bevezetés és a széles körű javítás közötti időszak – amelyet sebezhetőségi ablaknak neveznek – átlagosan körülbelül 312 nap, a Oligo biztonsági kutatása szerint. Még a javítás kiadása után is a szervezeteknek általában 60-150 napba telik a telepítése, ami hosszú ideig tartó kitettséget eredményez.
Ki vásárol és ad el zéró napos sebezhetőségeket
Virágzó piac létezik a zéró napos támadások számára, amely magában foglalja a legális brókereket, kormányokat és a bűnözői alvilági fórumokat. Az árak tükrözik a célpont értékét és a támadás megbízhatóságát. Egy zéró kattintásos támadás, amely képes egy iPhone feltörésére – anélkül, hogy a felhasználónak bármit is kellene tennie – akár 7 millió dollárt is érhet, a Crowdfense bróker által közzétett árak szerint. Az Android megfelelői akár 5 millió dollárt is érhetnek. Még egy böngésző vagy e-mail támadás is érhet 500 000 dollárt.
A vásárlók közé tartoznak a hírszerző ügynökségek, amelyek megfigyelő eszközöket keresnek, a kereskedelmi kémprogram-szállítók, akik olyan termékeket építenek, mint a Pegasus, és a kiberbűnözői szindikátusok. A Google 2025-ös felmérése szerint a kereskedelmi megfigyelő szállítók felülmúlták a hagyományos államilag támogatott csoportokat a zéró napos sebezhetőségek legtermékenyebb felhasználóiként, míg a Kínához kötődő csoportok maradtak a legaktívabbak a nemzetállami szereplők között.
Miért vallanak kudarcot a hagyományos védekezések
A hagyományos víruskereső és behatolás-észlelő rendszerek aláírásokra – a rosszindulatú kód ismert mintáira – támaszkodnak. Egy zéró napos sebezhetőségnek definíció szerint még nincs aláírása. Ez láthatatlanná teszi a hagyományos szkennerek számára. A támadók pontosan azért értékelik a zéró napos sebezhetőségeket, mert megkerülik azokat a védekezéseket, amelyekben a szervezetek a legjobban bíznak.
A vállalati célpontok felé való eltolódás súlyosbítja a problémát. 2025-ben a kihasznált zéró napos sebezhetőségek 48 százaléka vállalati technológiákat – biztonsági berendezéseket, VPN-eket és hálózati eszközöket – célzott, amelyek gyakran nem rendelkeznek a laptopokra és asztali számítógépekre telepített végpont-észlelő eszközökkel.
Hogyan védekeznek a szervezetek
Mivel a zéró napos sebezhetőségeket nem lehet javítani, mielőtt ismertek lennének, a védekezők többrétegű stratégiákra támaszkodnak:
- Hibavadász programok – Az olyan vállalatok, mint a Google, az Apple és a Microsoft fizetnek a biztonsági kutatóknak, hogy megtalálják és jelentsék a hibákat, mielőtt a bűnözők megtennék. A Google Project Zero programja népszerűsítette a 90 napos nyilvánosságra hozatali határidőt, amely rögzített időt ad a gyártóknak a javításra, mielőtt a sebezhetőséget nyilvánosságra hoznák.
- Viselkedésalapú észlelés – Az aláírások egyeztetése helyett a fejlett biztonsági eszközök figyelemmel kísérik a szokatlan viselkedést – váratlan hálózati forgalmat, rendellenes folyamatvégrehajtást vagy jogosultság-kiterjesztést –, amely egy ismeretlen támadásra utalhat.
- Zéró bizalmi architektúra – Minden felhasználó és eszköz ellenőrzésével minden hozzáférési ponton a szervezetek korlátozzák a támadó által okozható károkat még akkor is, ha egy rendszert feltörtek.
- Gyors javítás – A javítás kiadása és alkalmazása közötti időszak lerövidítése továbbra is az egyik leghatékonyabb – és leginkább elhanyagolt – védekezés.
A zéró napos támadások soha nem fognak teljesen eltűnni. Amíg az emberek kódot írnak, hibák fognak létezni. A támadók, akik felfedezik őket, és a védekezők, akik javítják őket, közötti verseny határozza meg a modern kiberbiztonság frontvonalát – egy versenyt, amelyet nem hónapokban, hanem órákban mérnek.
