Нулевой день (также известный как нулевой день ) — это уязвимость компьютерного программного обеспечения, ранее неизвестная тем, кто должен быть заинтересован в ее устранении , например поставщику целевого программного обеспечения. [1] Пока уязвимость не будет устранена, хакеры могут использовать ее для нанесения вреда программам, данным, дополнительным компьютерам или сети. [2] Эксплойт, использующий преимущества нулевого дня, называется эксплойтом нулевого дня или атакой нулевого дня.
Термин «нулевой день» первоначально относился к количеству дней с момента выпуска новой части программного обеспечения для широкой публики, поэтому «программное обеспечение нулевого дня» было получено путем взлома компьютера разработчика перед выпуском. В конце концов этот термин был применен к уязвимостям, которые позволили этот взлом, и к количеству дней, которые у поставщика были на их исправление. [3] [4] [5] Как только поставщики узнают об уязвимости, они обычно создают исправления или советуют обходные пути для ее устранения.
Чем позже поставщик узнал об уязвимости, тем больше вероятность того, что не было разработано ни исправления, ни смягчения последствий. Как только исправление разработано, шансы на успех эксплойта уменьшаются по мере того, как все больше пользователей применяют исправление с течением времени. Для эксплойтов нулевого дня, если только уязвимость не была устранена непреднамеренно, например, с помощью несвязанного обновления, которое устраняет уязвимость, вероятность того, что пользователь применил исправление, предоставленное поставщиком, которое устраняет проблему, равна нулю, поэтому эксплойт останется доступный. Атаки нулевого дня представляют собой серьезную угрозу . [6]
Потенциальные векторы атак для уязвимости нулевого дня идентичны известным уязвимостям и тем, для которых доступны исправления. Например, когда пользователь посещает мошеннический веб-сайт , вредоносный код на сайте может использовать незакрытые уязвимости в веб-браузере . Веб-браузеры являются особой целью для преступников из-за их широкого распространения и использования. Киберпреступники , а также международные поставщики шпионского ПО , такие как израильская NSO Group , [7] также могут отправлять вредоносные вложения электронной почты через SMTP ., которые используют уязвимости в приложении, открывающем вложение. [8] Эксплойты, использующие распространенные типы файлов , многочисленны и часты, о чем свидетельствует их все более частое появление в таких базах данных , как US-CERT . Преступники могут разрабатывать вредоносное ПО , чтобы использовать эксплойты этих типов файлов для компрометации атакуемых систем или кражи конфиденциальных данных. [9]
Время от того момента, когда программный эксплойт впервые становится активным, до момента, когда количество уязвимых систем сокращается до незначительного, называется окном уязвимости . [10] Временная шкала для каждой уязвимости программного обеспечения определяется следующими основными событиями:
В этой формулировке всегда верно, что t 0 ≤ t 1a и t 0 ≤ t 1b . Обратите внимание, что t 0 не совпадает с нулевым днем . Например, если хакер первым обнаружит (в момент t 0 ) уязвимость, поставщик может узнать о ней намного позже (в нулевой день).