Czym są exploity zero-day i jak działają?
Exploity zero-day wykorzystują luki w oprogramowaniu nieznane producentom, dając obrońcom zero dni na reakcję. Ten artykuł wyjaśnia, jak działają, kto je kupuje i dlaczego pozostają najgroźniejszym zagrożeniem cyberbezpieczeństwa.
Luka, o której nikt nie wie
Każde oprogramowanie zawiera błędy. Większość z nich jest nieszkodliwa. Ale czasami, luka daje atakującemu możliwość przejęcia kontroli nad urządzeniem, kradzieży danych lub zainstalowania narzędzi do inwigilacji – a producent oprogramowania nie ma o tym pojęcia. Taka luka nazywana jest luką zero-day, a kod napisany w celu jej wykorzystania to exploit zero-day. Nazwa odzwierciedla brutalną rzeczywistość: gdy atakujący uderzy, dostawca ma „zero dni” na przygotowanie poprawki.
Zero-daye znajdują się na szczycie hierarchii zagrożeń cyberbezpieczeństwa. Omijają oprogramowanie antywirusowe, unikają zapór ogniowych i sprawiają, że nawet dobrze załatane systemy stają się podatne na ataki. W 2025 roku grupa Threat Intelligence Google wykryła 90 luk zero-day wykorzystywanych w środowisku produkcyjnym – w porównaniu z 78 rok wcześniej – przy czym prawie połowa z nich była wymierzona w systemy korporacyjne, co stanowi rekord wszech czasów.
Jak przebiega atak zero-day
Atak zero-day zazwyczaj przebiega zgodnie z sekwencją, którą badacze bezpieczeństwa nazywają cyber kill chain (łańcuchem zabijania w cyberprzestrzeni). Najpierw atakujący odkrywają nieznaną lukę poprzez inżynierię wsteczną, fuzzing (automatyczne testowanie danych wejściowych) lub po prostu analizę kodu źródłowego. Następnie budują uzbrojony exploit – często mały fragment kodu, który wyzwala lukę, aby uzyskać nieautoryzowany dostęp.
Dostarczanie odbywa się za pośrednictwem znanych kanałów: e-mail phishingowy, zainfekowana strona internetowa lub złośliwy dokument. Po uruchomieniu exploita atakujący uzyskuje przyczółek – instalując złośliwe oprogramowanie, eskalując uprawnienia lub otwierając tylne drzwi dla trwałego dostępu. Ponieważ nie istnieje żadna łatka, tradycyjne mechanizmy obronne oparte na sygnaturach są ślepe na atak.
Współczesne kampanie często łączą ze sobą wiele luk. Zestaw exploitów DarkSword, którego kod wyciekł publicznie w marcu 2026 roku, łączył sześć luk w systemie iOS – trzy z nich to zero-daye – aby osiągnąć pełne przejęcie kontroli nad urządzeniem, wydobywając kontakty, wiadomości i dane z pęku kluczy z iPhone'ów.
Rynek wart wiele milionów dolarów
Exploity zero-day są niezwykle cenne. Według TechCrunch, w pełni uzbrojony łańcuch exploitów na iPhone'a może osiągnąć cenę od 5 do 7 milionów dolarów na otwartym rynku, podczas gdy exploity na Androida kosztują do 5 milionów dolarów. Ceny wzrosły wielokrotnie w ostatnich latach, ponieważ firmy wzmacniają swoje produkty, co sprawia, że każdy działający exploit jest rzadszy i bardziej ceniony.
O te narzędzia konkurują trzy odrębne grupy nabywców. Agencje wywiadowcze rządów – z krajami Five Eyes historycznie dominującymi na rynku – kupują zero-daye do celów inwigilacji i ofensywnych operacji cybernetycznych. Komercyjni dostawcy oprogramowania szpiegującego, tacy jak NSO Group, gromadzą je, aby zasilać produkty takie jak Pegasus, który był używany przeciwko dziennikarzom, aktywistom i politykom na całym świecie. I organizacje przestępcze wykorzystują je w kampaniach ransomware i kradzieży danych.
Dlaczego obrona jest tak trudna
Kluczowym wyzwaniem jest asymetria: atakujący muszą znaleźć tylko jedną lukę, podczas gdy obrońcy muszą chronić miliony linii kodu. Badania CIQ pokazują, że cykle łatania w przedsiębiorstwach trwają od 30 do 60 dni, a jednak atakujący rutynowo uzbrajają ujawnione luki w ciągu 15 dni. W pierwszej połowie 2025 roku VulnCheck odkrył, że 32% wykorzystywanych luk było atakowanych w dniu publicznego ujawnienia lub wcześniej.
Ponieważ nie można załatać tego, o czym się nie wie, organizacje coraz częściej polegają na wykrywaniu behawioralnym – monitorowaniu tego, co oprogramowanie faktycznie robi, zamiast dopasowywania znanych sygnatur. Segmentacja sieci, zasady dostępu oparte na minimalnych uprawnieniach i piaskownica aplikacji dodają kolejne warstwy obrony. Tryb blokady Apple, na przykład, drastycznie zmniejsza powierzchnię ataku iPhone'a, wyłączając funkcje, które atakujący powszechnie wykorzystują.
Wyścig zbrojeń trwa
Exploity zero-day pozostaną najpotężniejszą bronią cyberbezpieczeństwa w dającej się przewidzieć przyszłości. Wraz ze wzrostem złożoności oprogramowania i wzrostem wartości danych, motywacja do odkrywania – i sprzedawania – nieznanych luk tylko rośnie. Dla zwykłych użytkowników najlepszą obroną jest prostota: aktualizuj urządzenia, włącz automatyczne łatanie i traktuj nieoczekiwane linki i załączniki z podejrzliwością. W świecie zero-day zegar zaczyna się od zera – i każda godzina bez poprawki się liczy.
