Het Microsoft Intelligence Center meldde ongeveer drie VMware zero-days. Broadcom markeerde zijn klanten als misbruikt en de kwetsbaarheden waren CVE-2025-22224, CVE-2025-22225 en CVE-2025-22226. Dit had gevolgen voor VMware ESX-producten, waaronder Workstation, Telco Cloud Pattern, vSphere, VMware ESXi, Cloud Foundation en Fusion. Er waren VCMI-heap-overflows, HGFS-informatieonthullingsfouten en geheugenlekken uit VMX-processen opgetreden.
Paragon Partition Manager’s BioNTdrv.sys-stuurprogramma werd onlangs ook het slachtoffer van zero-day-aanvallen met ransomware. Het was kwetsbaar voor willekeurige kernelgeheugenmapping, schrijven en geheugenverplaatsing, wat de weg vrijmaakte voor Bring Your Vulnerable Driver-aanvallen op systemen zonder apparaatstuurprogramma's. De kritieke PostgreSQL-bug hield verband met een zero-day-aanval op het Amerikaanse ministerie van Financiën.
Zero days worden een probleem en hebben verwoestende gevolgen die verder gaan dan alleen datalekken. In deze gids gaan we dieper in op zero day-kwetsbaarheden. We leren hoe we zero day-aanvallen kunnen voorkomen en beperken.
Wat zijn zero-day-aanvallen?
Een zero-day-aanval is een kwetsbaarheid of fout die hackers vinden in de code van een applicatie of een andere mogelijkheid die ze kunnen misbruiken. Zero-day-exploits maken optimaal gebruik van onopgeloste of onbekende beveiligingsfouten in computerhardware, -software en -firmware. Het is een zero-day-aanval omdat de leverancier nul dagen heeft om het beveiligingsprobleem op te lossen. Kwaadwillende actoren kunnen deze kwetsbaarheden onmiddellijk misbruiken en toegang krijgen tot kwetsbare systemen.
Softwareontwikkelaars moeten patches voor deze kwetsbaarheden uitbrengen en hun programma's bijwerken. Maar dan is de schade al aangericht en is het te laat om deze te voorkomen. Zero-day-aanvallen kunnen malware installeren, gegevens stelen en zelfs mensen doden. Ze kunnen veel gevaar veroorzaken en grote schade aanrichten bij gebruikers, organisaties en systemen. Zero-day-aanvallen kunnen virussen, malware, ransomwareaanvallen of niet-detecteerbare bedreigingen die traditionele, op handtekeningen gebaseerde detectietechnologieën omzeilen.
Zero-day-kwetsbaarheden kunnen ernstige risico's opleveren vanwege het enorme bereik van de aanvallen. Ze kunnen hele organisaties en duizenden gebruikers blootstellen aan cybercriminaliteit totdat de leverancier of gemeenschap het probleem identificeert en oplost. Sommige zero-day-kwetsbaarheden kunnen dagen, maanden of jaren onopgemerkt blijven, waardoor ontwikkelaars niet genoeg tijd hebben om te reageren en ze op te lossen wanneer ze bekend worden.
Organisaties worden overrompeld wanneer hackers misbruik maken van deze kwetsbaarheden voordat leveranciers ze kunnen patchen. Het is een race tegen de klok. En zodra hackers werkbare zero-day-exploits hebben gemaakt, kunnen ze grootschaligere aanvallen uitvoeren.
Waarom zijn zero-day-aanvallen zo gevaarlijk?
Zero-days zijn gevaarlijk omdat u niet weet waar u mee te maken hebt. De omvang van de schade is onbekend en er zijn veel verborgen gevaren, zoals financiële verliezen, reputatieschade voor uw bedrijf en het ontstaan van blinde vlekken – extra blinde vlekken die u niet snel kunt opsporen of verhelpen.lt;/p>
Bekijk het eens op deze manier. Stel je voor dat je een beginner bent in karate en een witte band hebt. Je bent geblinddoekt en moet het opnemen tegen iemand met een zwarte band. Het ergste is dat je niet eens bedreven bent in vechtsporten, dus de kans dat je verliest is ontzettend groot. Je enige uitweg is om aan de situatie te ontsnappen en een tegenverdediging te plannen, zodat je de zwarte band niet nog een keer tegenkomt.
Zero-day-aanvallen kunnen ook voortkomen uit fouten in codering en ontwerppraktijken. Traditionele beveiligingskwetsbaarheden kunnen op tijd worden gepatcht en applicaties beveiligen, maar zero-day kwetsbaarheden zijn anders. Er is geen tijd om patches te maken en te werken aan het patchen van systemen. Er bestaan geen oplossingen voor deze kwetsbaarheden. Dit betekent dat je nieuwe patches en beveiligingsoplossingen moet ontwikkelen.
Zero-day-aanvallen met grote impact kunnen verliezen veroorzaken die variëren van $ 500.000 tot $ 2 miljoen, afhankelijk van het doelwit en het platform.
Hoe werken zero-day-aanvallen?
Hier volgt een korte uitleg over hoe zero-day-aanvallen werken:
- Er verschijnt een kwetsbaarheid in de softwarecode, maar de leverancier en het publiek zijn zich hier niet van bewust. Een hacker vindt deze uiteindelijk met behulp van geautomatiseerde tools en tests.
- De aanvaller zal vervolgens misbruik maken van deze code en profiteren van de kwetsbaarheid. Hij zal een kwaadaardige variant maken en deze in de webservice of app injecteren, waardoor deze niet meer goed functioneert.
- Hierdoor krijgt hij ongeoorloofde toegang. De schade begint daar en escaleert langzaam.
- Wanneer de leverancier het probleem ontdekt, zal hij proberen het snel op te lossen. Gebruikers en organisaties moeten de kwetsbaarheid patchen om verdere misbruik te voorkomen en de inbreuk te stoppen.
Hoe detecteer je zero-day-aanvallen?
Zero-day-aanvallen maken gebruik van beveiligingslekken in programma's en apps. Aanvallers kunnen zwakke plekken in de broncode vinden en kwaadaardige code maken om in databases te injecteren.
Het opsporen van zero-days is niet eenvoudig; het kan een uitdaging zijn en ingewikkeld zijn. Om kwetsbaarheden in kaart te brengen, moet u vooraf gedefinieerde correlatieregels instellen en bestaande gegevens in uw infrastructuur analyseren. Een andere manier om deze bedreigingen op te sporen is door bewegingen van insiders te volgen.
Onderzoek gebruikersactiviteiten met behulp van technologieën voor continue dreigingsdetectie, logboekregistratie en monitoring. De logboekactiviteiten van uw organisatie kunnen u informeren over wat er gebeurt, en geconsolideerde dashboards kunnen ook strategische beveiligingsinzichten opleveren.
Zero-day-aanvallen voorkomen en beperken
Het implementeren van een betrouwbare oplossing voor dreigingsinformatie en SIEM is essentieel voor het verzamelen van telemetriegegevens en het analyseren van beveiligingsgebeurtenissen. Deze oplossingen moeten in staat zijn om meerdere gegevenstypen uit verschillende bronnen te identificeren en realtime waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd. U kunt deze uitschieters onmiddellijk onderzoeken met uw beveiligingspersoneel en ongeoorloofde toegang beperken. Vul deze maatregelen aan met proactieve activiteiten om bedreigingen op te sporen. Gebruik geavanceerde analyses om te zoeken naar mogelijke Indicators of Compromise (IoC's) te zoeken en gedetailleerd onderzoek te doen.
Al deze tactieken helpen u ook om incidentrespons en de juiste tools voor de taak te selecteren. SentinelOne kan u helpen bij het automatiseren van responsacties, het aanpassen van beleid, het activeren van waarschuwingen en het onmiddellijk in quarantaine plaatsen of isoleren van gecompromitteerde hosts of bedreigingen wanneer deze worden gedetecteerd. Het helpt u ook om automatisch kwaadaardige IP's te blokkeren, gegevens te back-uppen en de impact van toekomstige beveiligingsincidenten te minimaliseren.
U kunt zero-day-aanvallen ook voorkomen en beperken door deze aanvullende stappen te nemen:
- Patch uw systemen en werk ze grondig bij. Voer een audit uit van al uw middelen, activa, inventaris en gebruikers. Scan historische gebeurtenisgegevens, zoek naar patronen en verdiep u in eerdere afwijkingen. Deze geven u aanwijzingen over toekomstige gebeurtenissen.
- Pas het principe van minimale toegangsrechten toe. Bouw een zero-trust netwerkbeveiligingsarchitectuur en vertrouw niemand. Controleer altijd. De persoon die u vandaag vertrouwt, kan morgen uw vijand worden door uw organisatie te verraden. Schrap onboarding- en offboardingprotocollen en maak ze strenger.
- Laat werknemers geen privégegevens verzenden via openbare netwerken. Stimuleer een cultuur waarin ze hun bevindingen anoniem kunnen melden en zorg voor volledige transparantie. Goede communicatie is essentieel om te leren hoe zero-day-aanvallen kunnen worden voorkomen en biedt voortdurende bescherming.
Verbeter uw informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenPraktijkvoorbeelden van zero-day-aanvallen
Hier volgen enkele praktijkvoorbeelden van zero-day-aanvallen die recentelijk in 2025 hebben plaatsgevonden:
De zero-day cyberaanval op Microsoft
Microsoft had niet verwacht dat een zero-day meerdere vectoren zou aanvallen. Kevin Breen, senior director bij Immersive, zei: "We dachten niet dat het mogelijk was. Zero-days richten zich meestal op één platform of één besturingssysteemomgeving."
In februari 2025 bracht Microsoft beveiligingsupdates uit voor 67 kwetsbaarheden in zijn nieuwste patch en rolde deze uit. Vier zero-days hadden echter al invloed gehad op Windows NTLMv2 hash, Windows Ancillary Function Driver, Windows Storage en Microsoft Surface-apparaten. Het uitvoeren van externe code en het escaleren van privileges waren de belangrijkste beveiligingsrisico's. Drie nieuwe kwetsbaarheden hadden invloed op Hyper-V: CVE-2025-21335, CVE-2025-21333 en CVE-2025-21334.
JetBrains TeamCity Authentication Zero-Day Bypass
JetBrains werd op 20 september 2023 op de hoogte gebracht van de kwetsbaarheid CVE-2023-42793 en maakte deze bekend. De kwetsbaarheid voor het omzeilen van authenticatie was gericht op hun CI/CD-server en on-premises instanties. Aanvallers verkregen ongeoorloofde toegang en lanceerden aanvallen waarbij op afstand code werd uitgevoerd. De kritieke authenticatie-bypass-fout werd slechts enkele dagen na de blootstelling ontdekt, waardoor er geen tijd was voor onmiddellijk herstel.
Zero-day-bedreiging van MOVEit Transfer
Een Russische groep onderzocht SQL-injectieproblemen en vond een zero-day-kwetsbaarheid in MOVEit Transfer. De groep voerde vervolgens ransomware-aanvallen uit op honderden organisaties, waaronder verschillende universiteiten, gezondheidsnetwerken, banken en overheidsinstanties.
LEMURLOOT-samples met de bestandsnamen human2.aspx en _human2.aspx werden geüpload naar vele wereldwijde openbare repositories. De aanval verspreidde zich en trof zelfs organisaties in landen als Pakistan en Duitsland.
Beperk zero-day-aanvallen met SentinelOne
SentinelOne maakt gebruik van geavanceerde AI-algoritmen om bronnen te scannen en zero-day-bedreigingen te stoppen, zelfs de onbekende. Het Endpoint Detection and Response (EDR)-platform biedt een diepgaand inzicht in netwerk- en gebruikersactiviteiten, waardoor bedreigingen gemakkelijker kunnen worden opgespoord. SentinelOne kan zijn endpoint-bescherming uitbreiden met Singularity XDR.
Singularity™ Threat Intelligence met data lake en Purple AI kan gegevens uit meerdere bronnen verzamelen en correleren. De gedragsengine van SentinelOne kan kwaadaardig gedrag binnen ondernemingen detecteren en volgen. Als er iets verdachts gebeurt of als er afwijkingen optreden, wordt dit onmiddellijk gemarkeerd voor beoordeling en herstel. Het contextbewustzijn van SentinelOne op het gebied van dreigingsinformatie elimineert valse positieven, vermindert het aantal valse waarschuwingen en houdt organisaties op de hoogte met de meest relevante meldingen. SentinelOne kan zero-day-aanvallen simuleren om mogelijkheden te onderzoeken met zijn Offensive Security Engine™ en Verified Exploit Paths™. De gepatenteerde Storylines™-technologie kan historische gebeurtenissen en artefacten reconstrueren en cyberforensisch onderzoek uitvoeren.
Gebruikers kunnen rechtstreeks vanuit het uniforme dashboard gedetailleerde systeem- en nalevingsrapporten genereren. SentinelOne stroomlijnt nalevingsaudits en helpt organisaties te voldoen aan de beste regelgevingsnormen, zoals SOC 2, HIPAA, PCI-DSS en ISO 27001. De oplossingen worden ondersteund door een sterke gemeenschap van experts uit de sector en gebruikers die nuttige inzichten delen.
De agentloze CNAPP biedt holistische beveiliging en diverse functies, zoals: Kubernetes Security Posture Management (KSPM), Cloud Workload Protection Platform (CWPP), Cloud Security Posture Management (CSPM), IaC-scanning, SaaS security posture management (SSPM), detectie van geheimen en preventie van het lekken van cloudreferenties, Extern aanvals- en oppervlaktebeheer (EASM), kwetsbaarheidsbeoordelingen, CI/CD-pijplijnscanning, Snyk-integratie en meer. Het platform helpt gebruikers bij het implementeren van de beste DevSecOps-praktijken in organisaties en bij het uitvoeren van interne en externe audits.
Conclusie
Hoewel zero-day-aanvallen onstuitbaar lijken, onthullen ze ook een diepere realiteit over onze zich ontwikkelende cyberwereld: we geven vorm aan elke ontdekte kwetsbaarheid en worden erdoor gevormd. Echte veerkracht komt niet voort uit het gebruik van de beste technologieën, maar uit het vermogen om een zelfgenoegzame mentaliteit af te schudden. Hackers richten zich namelijk niet alleen op software, maar ook op mensen.
Door samen te werken tussen verschillende functies, rigoureuze tests uit te voeren en voortdurend informatie te verzamelen, kunnen we digitale ecosystemen creëren waarin zero-day-aanvallen een stimulans zijn en geen voorbode van chaos.
Investeer in proactieve verdedigingsmaatregelen, bevorder een cultuur van cyberbewustzijn en ga aan de slag met uw beveiliging. Neem contact op met SentinelOne om de controle te behouden en u te verdedigen.
"FAQs
Zero-day-aanvallen maken misbruik van nieuw ontdekte kwetsbaarheden in software voordat ontwikkelaars patches uitbrengen. Aanvallers vinden deze beveiligingsfouten en creëren malware of hackmethoden binnen een kort tijdsbestek waarin de kwetsbaarheid bestaat.
Omdat verdedigers geen tijd hebben om te reageren, kan de schade zich extreem snel verspreiden, waardoor kritieke systemen worden geïnfecteerd, gegevens worden gestolen of hele netwerken worden geïnfecteerd zonder dat dit onmiddellijk wordt opgemerkt.
Leveranciers en onderzoekers hebben een waarschuwing nodig om kwetsbaarheden te patchen. Een 'zero-day'-aanval vindt plaats wanneer de klok op nul staat. De aanvaller maakt misbruik van de kwetsbaarheid voordat er een patch beschikbaar is of de tijd verstrijkt, waardoor de leverancier slechts "zero days" heeft om de patch te installeren of voorbereidingen te treffen. Deze korte tijdsdruk plaatst bedrijven in een dilemma en benadrukt de noodzaak om deze bedreigingen aan te pakken.
Iedereen kan zero-day-kwetsbaarheden ontdekken, van beveiligingsonderzoekers en white-hat-hackers tot cybercriminelen. Ethische onderzoekers informeren de leverancier meestal, zodat deze een patch kan uitbrengen, terwijl bedreigers de kwetsbaarheid in hun voordeel uitbuiten.
Overheidsinstanties financieren ook bugjachtinspanningen, en hun ontdekkingen blijven soms geheim, wat leidt tot speculaties over heimelijk gebruik voor spionage of spionage.
Een zero-day-markt is een commerciële marktplaats waar makelaars exploits kunnen kopen van onderzoekers en black hats. Deze markt wordt gebruikt om beveiligingsfouten te kopen en verkopen en om illegale activiteiten uit te voeren. Het is de schaduwkant van de cyberbeveiligingswereld en iets om op te letten. Er is een gebrek aan transparantie bij de transacties en de prijzen kunnen oneerlijk lijken.
Het voorkomen en ontdekken van zero-day-aanvallen is afhankelijk van de waakzaamheid van beveiligingsteams en tools voor het detecteren van afwijkingen. Ongebruikelijke gedragspatronen, verdacht dataverkeer of klachten van gebruikers kunnen aanleiding geven tot een onderzoek.
Beveiligingsprofessionals zetten sandboxing, honeypots en geavanceerde monitoringoplossingen in om kwaadaardige activiteiten in realtime op te sporen. Soms brengen toevallige bevindingen tijdens routinecontroles zero-day-exploits aan het licht. Door deze aan leveranciers te melden, kunnen snel patches worden ontwikkeld voordat er aanzienlijke schade ontstaat.
Grote bedrijven, overheidsinstanties, financiële instellingen en zorgverleners staan vaak bovenaan de lijst van zero-day-doelen. Deze entiteiten slaan gevoelige gegevens op en onderhouden kritieke infrastructuur, waardoor ze een belangrijk doelwit zijn voor spionage, sabotage of financieel gewin.
Kleine bedrijven en individuele gebruikers zijn ook niet immuun; zero-day-exploits kunnen zich willekeurig verspreiden via software die in alle sectoren veel wordt gebruikt, van besturingssystemen tot webapplicaties.
- Blijf waakzaam en werk uw software regelmatig bij, aangezien patches vaak niet bekendgemaakte kwetsbaarheden verhelpen.
- Schakel waar mogelijk automatische updates in.
- Gebruik betrouwbare antivirussoftware en firewalls om verdachte activiteiten te controleren en te blokkeren.
- Zorg voor een sterk wachtwoord en klik niet op onbekende links of download geen bestanden van ongeverifieerde bronnen.
Overweeg bovendien om VPN's te gebruiken op openbare wifi-netwerken. Door uw digitale voetafdruk te verkleinen, verkleint u de kans dat u het slachtoffer wordt van een zero-day-aanval.
Organisaties implementeren doorgaans protocollen voor snelle respons, waaronder het isoleren van getroffen systemen en het uitvoeren van forensische analyses om de inbreuk op te sporen. Ze brengen noodpatches uit of verwijzen gebruikers naar tijdelijke oplossingen. Incidentresponsteams werken samen met beveiligingsonderzoekers, delen informatie over bedreigingen en versterken de perimeterbeveiliging. Regelmatige penetratietests helpen ook om zwakke plekken te ontdekken voordat kwaadwillende actoren dat doen. Doorlopende training van het personeel vergroot het bewustzijn en minimaliseert de kans op herhaalde zero-day-inbraken.
