Mik azok a zero-day sebezhetőségek és hogyan működnek?
A zero-day sebezhetőségek olyan szoftverhibákat céloznak meg, amelyekről a gyártók nem tudnak, így a védekezőknek nulla napjuk van reagálni. Ez a magyarázat bemutatja, hogyan működnek, kik vásárolják őket, és miért maradnak a kiberbiztonság legveszélyesebb fenyegetései.
A hiba, amiről senki sem tud
Minden szoftver tartalmaz hibákat. A legtöbb ártalmatlan. De időnként egy hiba lehetővé teszi a támadónak, hogy átvegye az irányítást egy eszköz felett, adatokat lopjon, vagy megfigyelő eszközöket telepítsen – és a szoftver készítőjének fogalma sincs a létezéséről. Ezt a hibát zero-day sebezhetőségnek nevezik, és a kihasználására írt kódot zero-day exploitnak. A név egy kemény valóságot tükröz: amint egy támadó lecsap, a gyártónak "nulla napja" volt a javítás előkészítésére.
A zero-day sebezhetőségek a kiberbiztonsági fenyegetések hierarchiájának csúcsán helyezkednek el. Kikerülik a víruskereső szoftvereket, kijátsszák a tűzfalakat, és még a jól javított rendszereket is sebezhetővé teszik. 2025-ben a Google Threat Intelligence Group 90 zero-day sebezhetőséget követett nyomon, amelyeket a vadonban kihasználtak – ez 78-cal több, mint az előző évben –, és közel felük vállalati rendszereket célzott, ami minden idők legmagasabb értéke.
Hogyan zajlik egy zero-day támadás
Egy zero-day támadás tipikusan egy olyan sorozatot követ, amelyet a biztonsági kutatók kiber-ölési láncnak neveznek. Először a támadók ismeretlen hibát fedeznek fel visszafejtés, fuzzing (automatizált bemeneti tesztelés) vagy egyszerűen a forráskód alapos vizsgálata révén. Ezután egy fegyverzett exploitot építenek – gyakran egy kis kódrészletet, amely kiváltja a sebezhetőséget, hogy jogosulatlan hozzáférést szerezzen.
A kézbesítés ismerős csatornákon keresztül történik: adathalász e-mail, feltört webhely vagy rosszindulatú dokumentum. Amint az exploit elindul, a támadó lábat vet – rosszindulatú programot telepít, jogosultságokat emel, vagy hátsó ajtót nyit a tartós hozzáféréshez. Mivel nincs javítás, a hagyományos, aláírás alapú védekezések vakok a támadással szemben.
A modern kampányok gyakran több sebezhetőséget láncolnak össze. A DarkSword exploit kit, amelynek kódja 2026 márciusában nyilvánosságra került, hat iOS hibát kombinált – amelyek közül három zero-day volt –, hogy teljes eszközátvételt érjen el, és kapcsolatokat, üzeneteket és kulcskarika adatokat nyerjen ki az iPhone-okból.
Egy több millió dolláros piac
A zero-day exploitek rendkívül értékesek. A TechCrunch szerint egy teljesen fegyverzett iPhone exploit lánc 5 millió és 7 millió dollár közötti áron kelhet el a nyílt piacon, míg az Android exploitek akár 5 millió dollárt is érhetnek. Az árak az elmúlt években megsokszorozódtak, mivel a vállalatok megerősítik termékeiket, ami minden működő exploitot ritkábbá és értékesebbé tesz.
Három különböző vásárlói csoport versenyez ezekért az eszközökért. A kormányzati hírszerző ügynökségek – ahol a Five Eyes nemzetek történelmileg dominálnak a piacon – zero-day sebezhetőségeket vásárolnak megfigyelési és offenzív kiberműveletekhez. A kereskedelmi kémprogram-szállítók, mint például az NSO Group, felhalmozzák őket olyan termékek működtetéséhez, mint a Pegasus, amelyet újságírók, aktivisták és politikai személyiségek ellen használtak világszerte. És a bűnszervezetek zsarolóvírus-kampányokban és adatlopásban vetik be őket.
Miért olyan nehéz a védekezés
A fő kihívás az aszimmetria: a támadóknak csak egy hibát kell találniuk, míg a védekezőknek több millió sornyi kódot kell megvédeniük. A CIQ kutatása azt mutatja, hogy a vállalati javítási ciklusok 30-60 napot vesznek igénybe, a támadók azonban rutinszerűen 15 napon belül fegyverezik fel a nyilvánosságra hozott sebezhetőségeket. 2025 első felében a VulnCheck megállapította, hogy a kihasznált sebezhetőségek 32%-át a nyilvánosságra hozatal napján vagy azelőtt támadták meg.
Mivel nem lehet azt befoltozni, amiről nem tudunk, a szervezetek egyre inkább a viselkedésalapú észlelésre támaszkodnak – arra, hogy megfigyeljék, mit csinál valójában a szoftver, ahelyett, hogy ismert aláírásokhoz igazodnának. A hálózati szegmentálás, a legkisebb jogosultság elvének megfelelő hozzáférési szabályzatok és az alkalmazás-homokozók további védelmi rétegeket adnak hozzá. Az Apple Lockdown Mode funkciója például drasztikusan csökkenti az iPhone támadási felületét azáltal, hogy letiltja a támadók által gyakran kihasznált funkciókat.
A fegyverkezési verseny folytatódik
A zero-day exploitek a belátható jövőben a kiberbiztonság legerősebb fegyverei maradnak. Ahogy a szoftverek egyre összetettebbé válnak, és az adatok értéke növekszik, az ismeretlen hibák felfedezésére – és eladására – való ösztönzés csak nő. A hétköznapi felhasználók számára a legjobb védekezés egyszerű: tartsa naprakészen az eszközöket, engedélyezze az automatikus javítást, és kezelje gyanakvással a váratlan linkeket és mellékleteket. A zero-day világban az óra nullán indul – és minden javítás nélküli óra számít.
