Jak działają exploity zero-day – i dlaczego kosztują miliony
Exploity zero-day wykorzystują luki w oprogramowaniu nieznane dostawcom, nie dając czasu na załatanie. Ten artykuł wyjaśnia, jak są one odkrywane, uzbrajane, sprzedawane na szemranych rynkach i jak się przed nimi bronić.
Luka, o której nikt nie wie
Każde oprogramowanie zawiera błędy. Większość z nich jest nieszkodliwa. Ale czasami istnieje luka, która pozwala atakującemu ominąć zabezpieczenia, ukraść dane lub przejąć kontrolę nad całym systemem – a nikt po stronie obrońców nie wie o jej istnieniu. Ta luka nazywana jest luką zero-day, a kod napisany w celu jej wykorzystania to exploit zero-day. Nazwa odnosi się do faktu, że dostawca oprogramowania miał zero dni na naprawienie problemu, ponieważ jeszcze o nim nie wie.
Zero-day znajdują się na szczycie hierarchii zagrożeń cyberbezpieczeństwa. W przeciwieństwie do znanych luk, które można załatać, zero-day oferuje atakującym okno możliwości bez natychmiastowej obrony. Według Google's Threat Intelligence Group, w 2025 roku wykorzystano w środowisku produkcyjnym aż 90 luk zero-day – w porównaniu z 78 w roku poprzednim.
Jak rodzi się zero-day
Cykl życia zaczyna się podczas tworzenia oprogramowania, kiedy błąd w kodzie, wada projektu lub niedopatrzenie tworzy podatność na wykorzystanie. Luka może pozostawać uśpiona przez miesiące lub lata, aż ktoś ją odkryje. Tą osobą może być badacz bezpieczeństwa, zautomatyzowane narzędzie skanujące lub złośliwy haker.
To, co stanie się dalej, zależy od tego, kto znajdzie ją pierwszy. Cykl życia przebiega w sześciu etapach:
- Wprowadzenie — Luka jest nieumyślnie zakodowana w oprogramowaniu.
- Odkrycie — Badacz lub atakujący identyfikuje słabość.
- Wykorzystanie — Jeśli atakujący znajdą ją pierwsi, budują i wdrażają exploit, zanim ktokolwiek inny się o tym dowie.
- Ujawnienie — Luka jest zgłaszana dostawcy (odpowiedzialne ujawnienie) lub ujawniana publicznie.
- Wydanie łatki — Dostawca opracowuje i publikuje aktualizację zabezpieczeń.
- Wdrożenie łatki — Organizacje testują i wdrażają poprawkę w swoich systemach.
Luka czasowa między wprowadzeniem a powszechnym załataniem – znana jako okno podatności – wynosi średnio około 312 dni, zgodnie z badaniami bezpieczeństwa przeprowadzonymi przez Oligo. Nawet po wydaniu łatki organizacje zazwyczaj potrzebują od 60 do 150 dni na jej wdrożenie, co pozostawia długi ogon narażenia.
Kto kupuje i sprzedaje zero-day
Istnieje prężny rynek exploitów zero-day, obejmujący legalnych brokerów, rządy i kryminalne fora podziemne. Ceny odzwierciedlają wartość celu i niezawodność exploita. Exploit zero-click, zdolny do skompromitowania iPhone'a – niewymagający żadnej interakcji ze strony użytkownika – może osiągnąć cenę do 7 milionów dolarów, zgodnie z cennikiem opublikowanym przez brokera Crowdfense. Odpowiedniki dla Androida kosztują do 5 milionów dolarów. Nawet exploit przeglądarki lub poczty e-mail może być wart 500 000 dolarów.
Kupujący to agencje wywiadowcze poszukujące narzędzi do nadzoru, komercyjni dostawcy oprogramowania szpiegującego, budujący produkty takie jak Pegasus, oraz syndykaty cyberprzestępcze. Raport Google z 2025 roku wykazał, że komercyjni dostawcy oprogramowania szpiegującego wyprzedzili tradycyjne grupy sponsorowane przez państwo jako najczęstsi użytkownicy zero-day, podczas gdy grupy powiązane z Chinami pozostały najbardziej aktywne wśród podmiotów państwowych.
Dlaczego tradycyjne zabezpieczenia zawodzą
Konwencjonalne programy antywirusowe i systemy wykrywania włamań opierają się na sygnaturach – znanych wzorcach złośliwego kodu. Zero-day, z definicji, nie ma jeszcze sygnatury. To sprawia, że jest niewidoczny dla tradycyjnych skanerów. Atakujący cenią zero-day właśnie dlatego, że omijają zabezpieczenia, którym organizacje ufają najbardziej.
Przejście na cele korporacyjne pogłębia problem. W 2025 roku 48 procent wykorzystanych zero-day było skierowanych przeciwko technologiom korporacyjnym – urządzeniom zabezpieczającym, sieciom VPN i sprzętowi sieciowemu – którym często brakuje narzędzi do wykrywania punktów końcowych zainstalowanych na laptopach i komputerach stacjonarnych.
Jak organizacje walczą
Ponieważ zero-day nie można załatać, zanim staną się znane, obrońcy polegają na warstwowych strategiach:
- Programy Bug Bounty — Firmy takie jak Google, Apple i Microsoft płacą badaczom bezpieczeństwa za znajdowanie i zgłaszanie luk, zanim zrobią to przestępcy. Projekt Zero Google spopularyzował 90-dniowy termin ujawnienia, dając dostawcom ustalony czas na załatanie luki, zanim zostanie ona upubliczniona.
- Wykrywanie behawioralne — Zamiast dopasowywać sygnatury, zaawansowane narzędzia bezpieczeństwa monitorują nietypowe zachowanie – nieoczekiwany ruch sieciowy, nienormalne wykonywanie procesów lub eskalację uprawnień – które mogą sygnalizować nieznany exploit.
- Architektura Zero-Trust — Weryfikując każdego użytkownika i urządzenie w każdym punkcie dostępu, organizacje ograniczają szkody, jakie może wyrządzić atakujący, nawet po naruszeniu jednego systemu.
- Szybkie łatanie — Skrócenie luki czasowej między wydaniem łatki a jej wdrożeniem pozostaje jedną z najskuteczniejszych – i najbardziej zaniedbywanych – metod obrony.
Exploity zero-day nigdy całkowicie nie znikną. Dopóki ludzie piszą kod, będą istnieć luki. Wyścig między atakującymi, którzy je odkrywają, a obrońcami, którzy je łatają, definiuje linię frontu nowoczesnego cyberbezpieczeństwa – konkurs mierzony nie w miesiącach, ale w godzinach.
