Wat is een zero-day-kwetsbaarheid? Definitie, voorbeelden en beschermingsmaatregelen

De term ‘zero day’ duikt voortdurend op in het nieuws over cyberbeveiliging, maar het begrip wordt vaak verkeerd begrepen. Een zero-day-kwetsbaarheid is niet per se de gevaarlijkste kwetsbaarheid in uw omgeving. Het is een specifieke categorie kwetsbaarheden die een bepaald soort risico met zich meebrengt, en om hier op de juiste manier mee om te gaan, is het essentieel te begrijpen waarin deze kwetsbaarheid zich onderscheidt van andere kwetsbaarheden.

De meeste beveiligingsteams hechten te veel belang aan zero-day-risico’s en te weinig aan het veel vaker voorkomende risico van ongepatchte bekende kwetsbaarheden. De beveiligingsmaatregelen die het zero-day-venster dichten, zijn grotendeels dezelfde die de blootstelling aan het bredere kwetsbaarhedenlandschap verminderen. Door dit onderscheid te begrijpen, kunnen IT-teams en MSP’s hun beveiligingsinspanningen doelgericht inzetten in plaats van reactief te handelen. Lees het Kaseya State of the MSP-rapport 2026 — 69% van de MSP's biedt patch- en updatebeheer als een service aan, omdat de periode tussen het bekendmaken van een kwetsbaarheid en het patchen ervan een van de meest cruciale momenten is in IT-beveiliging.

Wat is een zero-day-kwetsbaarheid?

Een zero-day-kwetsbaarheid is een beveiligingslek in software, hardware of firmware waarvan de leverancier die verantwoordelijk is voor het verhelpen ervan nog geen weet heeft, en waarvoor dus nog geen patch beschikbaar is op het moment dat aanvallers erachter komen of er misbruik van maken.

De term verwijst naar het aantal dagen dat de leverancier de tijd heeft gehad om het probleem op te lossen: nul. Wanneer een kwetsbaarheid door een onderzoeker wordt ontdekt en op verantwoorde wijze aan de leverancier wordt gemeld, heeft de leverancier de tijd om een patch te ontwikkelen en uit te brengen voordat de kwetsbaarheid algemeen bekend wordt en misbruikt wordt. Een zero-day daarentegen wordt ofwel misbruikt voordat er sprake is van enige openbaarmaking, ofwel openbaar gemaakt zonder dat de leverancier hiervan vooraf op de hoogte is gesteld, waardoor er een periode ontstaat waarin systemen kwetsbaar zijn en er nog geen oplossing voorhanden is.

De term wordt ook wel als '0-day' geschreven, en 'zero-day' kan verwijzen naar de kwetsbaarheid zelf, de exploit waarmee daar misbruik van wordt gemaakt, of de aanval waarbij de exploit wordt gebruikt. Elk van deze begrippen heeft een eigen betekenis, en daarom kan de terminologie verwarrend zijn.

Zodra er een patch is uitgebracht, is het beveiligingslek technisch gezien geen zero-day meer. Het wordt dan een bekend beveiligingslek. Maar die overgang neemt het risico niet weg. De praktische blootstellingsperiode is de tijd tussen het moment waarop een aanvaller op de hoogte is van een beveiligingslek en het moment waarop een organisatie de patch daarvoor installeert, en voor de meeste organisaties kan die periode zich uitstrekken tot weken of zelfs maanden nadat er een patch beschikbaar is.

Zero-day-kwetsbaarheid, exploit en aanval: uitleg van deze drie begrippen

Deze drie termen worden vaak door elkaar gebruikt, maar hebben een verschillende betekenis.

Een zero-day-kwetsbaarheid is een onderliggende fout in de software of firmware, een beveiligingslek dat wel bestaat maar waarvoor nog geen patch beschikbaar is. Het is een toestand, geen handeling.

Een zero-day-exploit is de code, tool of techniek waarmee misbruik wordt gemaakt van die kwetsbaarheid. Beveiligingsonderzoekers gebruiken exploits om aan te tonen dat een kwetsbaarheid echt bestaat en misbruikt kan worden. Aanvallers gebruiken ze als wapens. Wanneer de bredere beveiligingsgemeenschap het heeft over een zero-day die „in het wild wordt misbruikt“, bedoelen ze dat er een exploit gericht op die kwetsbaarheid is ingezet tegen echte doelwitten.

Een zero-day-aanval is de operatie waarbij de exploit tegen een doelwit wordt ingezet. Een kwetsbaarheid kan bestaan zonder dat er misbruik van wordt gemaakt. Een exploit kan worden geschreven zonder dat deze bij een aanval wordt gebruikt. De aanval is het moment waarop een kwetsbaarheid meetbare schade veroorzaakt.

Dit onderscheid is van belang bij incidentrespons. Een organisatie die misbruik op een systeem constateert, kan te maken hebben met een zero-day-aanval, maar hetzelfde gedrag kan ook wijzen op misbruik van een bekende kwetsbaarheid waarvoor nog geen patch is uitgebracht. Om deze twee van elkaar te kunnen onderscheiden, zijn detectiemogelijkheden nodig die verder gaan dan het vergelijken van handtekeningen.

Hoe zero-day-kwetsbaarheden worden ontdekt

Zero-days worden via verschillende kanalen ontdekt, en het kanaal is van belang omdat dit bepaalt hoe snel er een patch beschikbaar komt.

Beveiligingsonderzoekers die kwetsbaarheden ontdekken, volgen doorgaans een procedure voor verantwoorde openbaarmaking: ze brengen de leverancier hierover vertrouwelijk op de hoogte en geven hem een bepaalde termijn (vaak 90 dagen, zoals in de norm van Google Project Zero) om een patch te ontwikkelen voordat de kwetsbaarheid openbaar wordt gemaakt. In dergelijke gevallen kan er al een patch beschikbaar zijn op de dag dat de kwetsbaarheid openbaar wordt, waardoor de daadwerkelijke zero-day-periode aanzienlijk wordt verkort.

Groepen die zich als natiestaten gedragen en geavanceerde criminele organisaties steken aanzienlijke middelen in kwetsbaarheidsonderzoek, met als specifiek doel misbruikbare fouten op te sporen nog voordat leveranciers dat doen. Zero-day-kwetsbaarheden die op deze manier worden ontdekt, worden doorgaans onmiddellijk als wapen ingezet en maanden of jaren geheim gehouden om hun waarde als aanvalsmiddel te behouden. Dit is de gevaarlijkste categorie, omdat deze kwetsbaarheden al bestaan en actief worden misbruikt nog voordat iemand buiten de aanvallende groep weet dat ze bestaan.

De zero-day-markt is een reële en omvangrijke economische sector. Makelaars kopen en verkopen zero-day-exploits, waarbij zowel inlichtingendiensten van overheden als criminele organisaties als kopers optreden. Een zero-day in veelgebruikte software kan op deze markt aanzienlijke bedragen opleveren, waardoor er een financiële prikkel ontstaat om kwetsbaarheden op te sporen en voor zichzelf te houden in plaats van ze op verantwoorde wijze openbaar te maken.

De praktische consequentie voor beveiligingsspecialisten is dat je vaak niet kunt weten of er een zero-day in de software die je gebruikt bestaat en of deze actief wordt verhandeld of misbruikt, omdat het kenmerkende kenmerk van een echte zero-day is dat deze onbekend is bij de leverancier en het grote publiek. Beveiliging moet erop gericht zijn de gevolgen van een succesvolle aanval te beperken, in plaats van het bestaan van de kwetsbaarheid te voorkomen.

Zero-day-kwetsbaarheden versus bekende kwetsbaarheden: wat is gevaarlijker?

Voor de meeste organisaties vormen niet-gepatchte bekende kwetsbaarheden een groter operationeel risico dan zero-day-kwetsbaarheden.

Zero-day-kwetsbaarheden krijgen veel aandacht omdat ze nieuw zijn en er nog geen patches voor bestaan. Maar in het bredere kwetsbaarhedenlandschap komen ze relatief zelden voor. Het aantal openbaar gedocumenteerde, verhelpbare kwetsbaarheden in veelgebruikte software is op elk willekeurig moment enorm. Bij veruit de meeste succesvolle aanvallen in de praktijk wordt gebruikgemaakt van bekende kwetsbaarheden, vaak kwetsbaarheden waarvoor al maanden of jaren patches beschikbaar zijn.

De cijfers hierachter laten geen twijfel bestaan. Bij de meeste grote datalekken die worden onderzocht en publiekelijk worden toegeschreven, blijkt het te gaan om misbruik van bekende kwetsbaarheden in plaats van echte zero-days. Aanvallers kiezen voor de weg van de minste weerstand. Een niet-gepatchte Exchange-server met een CVE van anderhalf jaar geleden is toegankelijker dan een gloednieuwe zero-day die het onderzoeksteam van een natiestaat maanden heeft gekost om te ontdekken.

In de praktijk komt het erop neer dat de beste verdediging tegen alle kwetsbaarheden – zowel zero-day als bekende – grotendeels dezelfde is: snel, geautomatiseerd patchbeheer dat de tijd tussen het beschikbaar komen van een patch en het daadwerkelijk toepassen ervan tot een minimum beperkt, in combinatie met gedragsdetectie die misbruik kan opsporen, ongeacht of de specifieke kwetsbaarheid bekend is.

Voor zero-day-kwetsbaarheden zijn twee extra functies nodig die bij bekende kwetsbaarheden niet vereist zijn. Gedragsdetectie die misbruikpatronen identificeert zonder gebruik te maken van bekende handtekeningen. En compenserende maatregelen die de schade beperken wanneer een kwetsbaarheid niet kan worden verholpen omdat er nog geen patch beschikbaar is.

Bekende voorbeelden van zero-day-kwetsbaarheden

Log4Shell (2021)

De kritieke kwetsbaarheid in Apache Log4j, een veelgebruikte Java-loggingbibliotheek, werd in december 2021 openbaar gemaakt. Binnen enkele uren na de bekendmaking begon het misbruik op grote schaal. De combinatie van de vrijwel universele aanwezigheid van Log4j in Java-applicaties van bedrijven en de ernst van de kwetsbaarheid (uitvoering van code op afstand met minimale authenticatie) maakte dit tot een van de belangrijkste zero-day-incidenten van het afgelopen decennium. Organisaties met geautomatiseerd patchbeheer en een inventaris van bedrijfsmiddelen die hun blootstelling aan Log4j aantoonden, konden prioriteiten stellen en reageren. Degenen die geen van beide hadden, waren dagen bezig met het achterhalen van hun daadwerkelijke blootstelling, terwijl het misbruik al aan de gang was.

ProxyLogon (Microsoft Exchange, 2021)

Een door de Chinese staat gesteunde groep maakte misbruik van ProxyLogon, een reeks kwetsbaarheden in Microsoft Exchange Server, nog voordat de patch van Microsoft beschikbaar was. Door deze kwetsbaarheden kon op afstand code worden uitgevoerd op niet-gepatchte Exchange-servers. Tegen de tijd dat Microsoft patches uitbracht, waren wereldwijd al duizenden Exchange-servers gecompromitteerd via webshells die na de eerste aanval actief bleven.

Chrome-zero-days (lopend)

Google Chrome krijgt regelmatig noodpatches voor zero-day-kwetsbaarheden die actief worden misbruikt, omdat browsers complexe software zijn die rechtstreeks worden blootgesteld aan onbetrouwbare inhoud. Het patroon is altijd hetzelfde: er wordt ontdekt dat een zero-day-kwetsbaarheid in het wild wordt misbruikt, Google brengt een noodpatch uit, en organisaties die het patchen van browsers niet hebben geautomatiseerd, blijven kwetsbaar totdat de patch handmatig is geïnstalleerd.

Stuxnet (2010) en EternalBlue (2017)

Stuxnet blijft het schoolvoorbeeld van een door een natiestaat ontwikkelde zero-day-aanval. Het virus, dat in 2010 werd ontdekt, maakte tegelijkertijd gebruik van vier verschillende zero-day-kwetsbaarheden in Windows om een payload te plaatsen die fysieke schade veroorzaakte aan industriële centrifuges in het Iraanse nucleaire programma. Het blijft opmerkelijk omdat het aantoont dat het misbruik van zero-day-kwetsbaarheden niet alleen tot gegevensverlies kan leiden, maar ook tot concrete fysieke gevolgen.

EternalBlue, een zero-day-exploit die oorspronkelijk door de NSA was ontwikkeld en in 2017 uitlekte, richtte zich op het Windows SMBv1-protocol. Het werd het verspreidingsmechanisme voor WannaCry en NotPetya, twee van de economisch meest verwoestende cyberaanvallen uit de geschiedenis. Voor de onderliggende kwetsbaarheid was er al een patch van Microsoft beschikbaar toen WannaCry toesloeg, maar miljoenen systemen waarop de patch niet was geïnstalleerd, bleven kwetsbaar. Daarom kon een exploit voor een reeds bekende kwetsbaarheid nog steeds catastrofale gevolgen hebben.

Het patroon dat zich bij alle zero-day-incidenten voordoet, is het volgende: organisaties die patches snel installeerden zodra deze beschikbaar kwamen, of die beschikten over gedragsdetectie waarmee pogingen tot misbruik konden worden opgespoord, wisten de schade aanzienlijk beter te beperken dan organisaties die dat niet deden.

Bescherming tegen zero-day-bedreigingen

De verdedigingsstrategie voor zero-days is dezelfde als voor het bredere kwetsbaarhedenlandschap, met twee aanvullingen.

Het aanvalsoppervlak minimaliseren

Hoe minder software er in de omgeving draait, hoe minder potentiële zero-day-kwetsbaarheden er zijn. Door software te verwijderen die niet actief wordt gebruikt, browserextensies tot het strikt noodzakelijke te beperken en het aantal diensten dat via internet toegankelijk is te verminderen, worden de mogelijkheden voor misbruik beperkt. Een zero-day-kwetsbaarheid in software die u niet gebruikt, kan u geen schade berokkenen.

Snel en geautomatiseerd patchbeheer

Het installeren van patches helpt niet tijdens de daadwerkelijke zero-day-periode, maar vermindert de kwetsbaarheid aanzienlijk zodra er een patch is uitgebracht. De overgang van een zero-day-kwetsbaarheid naar een bekende kwetsbaarheid en vervolgens naar een gepatchte kwetsbaarheid moet zo snel mogelijk plaatsvinden, gemeten in dagen, niet in weken. Kaseya VSA 10 en Datto RMM automatiseren de implementatie van patches op alle beheerde eindpunten op de dag van uitgave, met configureerbare, op ringen gebaseerde goedkeuringsworkflows voor wijzigingen die moeten worden getest voordat ze in productie worden genomen.

Detectie van gedragsgerelateerde EDR

EDR-platforms die misbruikgedrag, procesinjectie, privilege-escalatie, onverwachte subprocessen en ongebruikelijke netwerkverbindingen vanuit vertrouwde processen detecteren, kunnen zero-day-aanvallen identificeren, zelfs als er geen bekende handtekening voor de specifieke kwetsbaarheid beschikbaar is. Datto EDR biedt gedragsdetectie die aanvalspatronen opspoort in plaats van alleen bekende malware, waardoor het systeem van groot belang is tijdens de zero-day-periode vóór het uitbrengen van een patch, wanneer er nog geen handtekening beschikbaar is.

Netwerksegmentatie

Door te beperken wat een gecompromitteerd systeem binnen het netwerk kan bereiken, wordt de omvang van de schade beperkt wanneer een zero-day-kwetsbaarheid met succes wordt uitgebuit. Een aanvaller die een zero-day-kwetsbaarheid in een werkstation uitbuit, mag niet automatisch toegang krijgen tot een domeincontroller, een bestandsserver of een back-upsysteem. Segmentatie voorkomt het misbruik niet, maar zorgt ervoor dat een catastrofale inbreuk beperkt blijft.

Beheer van kwetsbaarheden

Door middel van continue scans die niet-gepatchte software in de hele omgeving opsporen en de prioriteit van herstelmaatregelen bepalen op basis van de beschikbaarheid van exploits en het belang van de betreffende systemen, wordt inzicht verkregen in de meest urgente kwetsbaarheden. Wanneer er een nieuwe zero-day wordt gemeld, laten de gegevens over kwetsbaarheidsbeheer onmiddellijk zien welke systemen zijn getroffen en hoe snel er moet worden gereageerd.

Informatie over cyberdreigingen

Feeds die actieve zero-day-exploitatiecampagnes volgen, geven een vroegtijdige waarschuwing – vaak al dagen voordat er een patch beschikbaar is – dat een specifieke kwetsbaarheid actief wordt misbruikt. Hierdoor kunnen compenserende maatregelen (aanpassingen van regels, tijdelijke uitschakeling van functies, beperkingen van netwerktoegang) worden genomen terwijl er aan een patch wordt gewerkt.

Zero-day-beveiliging voor MSP’s: het probleem van het patchvenster

Voor MSP’s is de uitdaging op het gebied van zero-day-beveiliging geen theoretische kwestie, maar een praktische. De periode tussen het moment dat een zero-day-patch beschikbaar komt en het moment dat die patch in tientallen klantomgevingen is geïmplementeerd, vormt de echte kwetsbaarheidsperiode, en zonder automatisering loopt die periode alleen maar uit.

Stel je eens voor hoe handmatige patchcoördinatie er op grote schaal uitziet. Op een dinsdag duikt er een kritieke zero-day-kwetsbaarheid in een browser op. Het MSP-team stelt de kwetsbaarheid vast, beoordeelt welke klanten hierdoor worden getroffen, stemt de onderhoudsvensters met elke klant af, plant de implementatie en controleert per klant of deze is geslaagd. In het gunstigste geval duurt dat proces bij 30 klanten drie tot vier dagen. In omgevingen waar aanvallers zich binnen 24 tot 48 uur na bekendmaking al richten op pas onthulde kwetsbaarheden met een hoge ernstgraad, is dat tijdsbestek van cruciaal belang.

Met Kaseya VSA 10 of Datto RMM wordt dezelfde implementatie nog dezelfde dag uitgevoerd volgens een geautomatiseerd patchbeleid, waarbij gebruik wordt gemaakt van een op ringen gebaseerde staging-fase waarin de update eerst wordt getest op een validatiegroep voordat deze volledig in productie wordt genomen. De afstemming van het onderhoudsvenster is vooraf geconfigureerd. De verificatie verloopt automatisch. Voor klanten die onder dit beleid vallen, wordt het risicovenster van de MSP teruggebracht van dagen tot uren.

Daarom is het voor 69% van de MSP’s die patchbeheer als dienst aanbieden niet zomaar een bedrijfsactiviteit, maar de operationele capaciteit die het zero-day-venster verdedigbaar maakt. De dienst is het systeem. Ontdek het geautomatiseerde patchbeheer van Kaseya VSA 10 voor het operationele model waarmee een snelle reactie op zero-day-beveiligingslekken schaalbaar wordt in een omgeving met meerdere klanten.

Zero-day-kwetsbaarheden halen de krantenkoppen. Maar het is vooral de bekende, niet-gepatchte kwetsbaarheden die de meeste schade aanrichten. De verdedigingsstrategie die beide aanpakt, is dezelfde: verklein het aanvalsoppervlak, automatiseer het patchen, implementeer gedragsdetectie en segmenteer het netwerk. De organisaties en MSP’s die het meeste uit deze werkwijzen halen, zijn degenen die ze continu toepassen in plaats van er pas mee te beginnen als er weer een opvallende kwetsbaarheid aan het licht komt. Tegen die tijd is het hek al open.