Eksploitasi zero-day adalah vektor serangan siber yang memanfaatkan kelemahan keamanan yang tidak diketahui atau tidak ditangani dalam perangkat lunak, perangkat keras, atau firmware komputer. "Zero day" mengacu pada fakta bahwa vendor perangkat lunak atau perangkat memiliki waktu nol hari untuk memperbaiki cacat karena pelaku jahat sudah dapat menggunakannya untuk mengakses sistem yang rentan.
Kerentanan yang tidak diketahui atau belum diatasi disebut sebagai kerentanan zero-day atau ancaman zero-day. Serangan zero-day adalah ketika seseorang yang buruk menggunakan eksploitasi zero-day untuk menanamkan malware, mencuri data, atau menyebabkan kerusakan kepada pengguna, organisasi, atau sistem.
Konsep yang serupa tetapi terpisah, malware zero-day, adalah virus atau malware yang tanda tangannya tidak diketahui atau belum tersedia, dan oleh karena itu tidak dapat dideteksi oleh banyak solusi perangkat lunak antivirus atau teknologi pendeteksi ancaman berbasis tanda tangan lainnya.
Tim IBM X-Force Threat Intelligence mencatat 7.327 kerentanan zero-day sejak tahun 1988, yang jumlahnya hanya 3% persen dari semua kerentanan keamanan yang tercatat. Namun, kerentanan zero-day—terutama dalam sistem operasi atau perangkat komputasi yang banyak digunakan—merupakan risiko keamanan yang parah. Mereka menyebabkan sejumlah besar pengguna atau seluruh organisasi terbuka luas terhadap kejahatan dunia maya sampai vendor atau komunitas keamanan siber mengidentifikasi masalah dan merilis solusi.
Perkuat intelijen keamanan Anda
Tetap terdepan dalam menghadapi ancaman dengan berita dan insight tentang keamanan, AI, dan lainnya, setiap minggu di Buletin Think.
Kerentanan zero-day ada pada versi sistem operasi, aplikasi, atau perangkat sejak dirilis, tetapi vendor perangkat lunak atau produsen perangkat keras tidak mengetahuinya. Kerentanan tersebut dapat tidak terdeteksi selama beberapa hari, bulan, atau tahun hingga seseorang menemukannya.
Pada skenario terbaik, peneliti keamanan atau pengembang perangkat lunak menemukan kelemahan itu sebelum aktor ancaman. Namun, terkadang peretas sampai ke kerentanan terlebih dahulu.
Terlepas dari siapa yang menemukannya, kelemahan itu biasanya akan segera diketahui oleh umum. Vendor dan profesional keamanan biasanya memberi tahu pelanggan sehingga mereka dapat mengambil tindakan pencegahan. Peretas dapat mengirim ancaman ke dalam kalangan mereka sendiri, dan peneliti dapat mempelajarinya dari pengamatan aktivitas penjahat siber. Beberapa vendor mungkin merahasiakan kerentanan sampai mereka mengembangkan pembaruan perangkat lunak atau perbaikan lainnya, tetapi ini bisa menjadi pertaruhan. Jika peretas menemukan cacat sebelum vendor menambalnya, organisasi dapat lengah.
Pengetahuan akan kelemahan zero-day baru memulai perlombaan antara profesional keamanan yang memperbaikinya dan peretas yang mengembangkan eksploitasi zero-day dengan memanfaatkan kerentanan untuk menginfiltrasi sistem. Setelah peretas mengembangkan eksploitasi zero-day yang dapat berfungsi, mereka akan menggunakannya untuk melakukan serangan siber.
Peretas seringkali mengembangkan eksploitasi lebih cepat dibandingkan tim keamanan yang mengembangkan perbaikan. Menurut satu perkiraan, eksploitasi biasanya tersedia dalam waktu 14 hari setelah mengungkapkan kerentanan. Namun, begitu serangan zero-day dimulai, perbaikan sering kali terjadi hanya dalam beberapa hari karena vendor menggunakan informasi dari serangan untuk menentukan kelemahan yang perlu mereka perbaiki. Maka, meskipun kerentanan zero-day itu dapat berbahaya, peretas biasanya tidak dapat mengeksploitasi dalam jangka waktu yang lama.
Stuxnet
Stuxnet adalah worm komputer canggih yang mengeksploitasi empat kerentanan perangkat lunak zero-day yang berbeda di sistem operasi Microsoft Windows. Pada tahun 2010, Stuxnet digunakan dalam serangkaian serangan fasilitas Nuklir di Iran. Setelah worm memecah sistem komputer pembangkit nuklir, dia mengirim perintah berbahaya ke sentrifugal yang digunakan untuk memperkaya uranium. Perintah tersebut menyebabkan sentrifugal berputar sangat cepat hingga rusak. Totalnya, Stuxnet telah merusak 1.000 sentrifugal.
Para peneliti percaya bahwa pemerintah AS dan Israel bekerja sama untuk membangun Stuxnet, tetapi ini belum dikonfirmasi.
Log4Shell
Log4Shell adalah kerentanan zero-day dalam Log4J, perpustakaan Java sumber terbuka yang digunakan untuk pencatatan pesan kesalahan. Peretas dapat menggunakan kelemahan Log4Shell untuk mengontrol hampir semua perangkat yang menjalankan aplikasi Java secara jarak jauh. Karena Log4J digunakan dalam program-program populer seperti Apple iCloud dan Minecraft, ratusan juta perangkat berada dalam risiko. Database Kerentanan dan Eksposur Umum (CVE) MITRE menetapkan skor risiko tertinggi, yaitu 10 dari 10, untuk Log4Shell.
Kelemahan Log4Shell telah ada sejak tahun 2013 namun peretas baru mulai mengeksploitasinya pada tahun 2021. Kerentanan itu ditambal tak lama setelah ditemukan, tetapi peneliti keamanan mendeteksi lebih dari 100 serangan Log4Shell per menit pada puncaknya.
Serangan Chrome tahun 2022
Pada awal tahun 2022, peretas Korea Utara mengeksploitasi kerentanan eksekusi kode jarak jauh zero-day pada browser web Google Chrome. Peretas menggunakan email phishing untuk mengirimkan situs palsu pada korban, yang menggunakan kerentanan Chrome untuk menginstal spyware dan malware akses jarak jauh pada mesin korbannya. Kerentanan tersebut segera ditambal tetapi para peretas menutupi jejak mereka dengan baik, dan para peneliti tidak tahu persis data apa yang dicuri.
Serangan zero-day adalah salah satu ancaman siber yang paling sulit untuk diatasi. Peretas dapat mengeksploitasi kerentanan zero-day bahkan sebelum targetnya sadar, memungkinkan para pelaku menyusup ke dalam jaringan tanpa terdeteksi.
Selagi kerentanan tersebut masih diketahui umum, mungkin akan membutuhkan waktu lama sebelum penyedia perangkat lunak dapat merilis perbaikannya, meninggalkan organisasi dalam keadaan terkena ancaman.
Saat ini, peretas mengeksploitasi kerentanan zero-day lebih sering. Laporan Mandiant tahun 2022 menemukan bahwa lebih banyak kerentanan zero-day yang dieksploitasi pada tahun 2021 saja daripada di seluruh tahun 2018-2020.
Meningkatnya serangan zero-day kemungkinan besar disebabkan oleh fakta bahwa jaringan perusahaan berkembang menjadi lebih kompleks. Saat ini, organisasi bergantung pada gabungan aplikasi cloud dan lokal, perangkat milik perusahaan dan milik karyawan, dan Internet of Things (IoT), serta perangkat teknologi operasional (OT). Semua faktor ini memperluas ukuran permukaan serangan organisasi, dan kerentanan zero-day dapat mengintai di salah satu dari mereka.
Karena kelemahan zero-day menawarkan kesempatan berharga bagi peretas, penjahat siber kini menjual kerentanan zero-day dan eksploitasi zero-day di pasar gelap dengan harga yang mahal. Misalnya, pada tahun 2020, peretas menjual Zoom zero-day seharga USD 500.000.
Pelaku tingkat negara juga dikenal sering mencari kelemahan zero-day. Banyak dari mereka memilih untuk tidak mengungkapkan zero-days yang mereka temukan, tetapi lebih memilih membuat eksploitasi zero-day rahasia mereka sendiri untuk digunakan melawan musuh. Banyak vendor dan peneliti keamanan mengkritik praktik ini, dengan alasan bahwa hal itu membahayakan organisasi tanpa disadari.
Tim keamanan seringkali dirugikan oleh kerentanan zero-day. Karena kekurangan ini masih tidak dikenal dan belum diperbaiki, organisasi tidak dapat mencatatnya dalam manajemen risiko keamanan siber atau upaya mengurangi kerentanan.
Namun, perusahaan dapat mengambil langkah-langkah untuk mengungkap lebih banyak kerentanan dan mengurangi dampak serangan zero-day.
Manajemen patch: Vendor terburu-buru mengeluarkan patch keamanan ketika mereka menemukan zero-days, tetapi banyak organisasi mengabaikan untuk menerapkan patch ini dengan cepat. Program manajemen patch formal dapat membantu tim keamanan untuk tetap mengikuti perkembangan patch-patch penting ini.
Manajemen kerentanan: Penilaian kerentanan dan uji penetrasi mendalam dapat membantu perusahaan dalam menemukan kerentanan zero-day dalam sistem mereka sebelum peretas.
Manajemen permukaan serangan (ASM): Alat ASM memungkinkan tim keamanan untuk mengidentifikasi semua aset di jaringan dan memeriksa adanya kerentanan. Alat ASM menilai jaringan dari sudut pandang peretas, fokus pada cara pelaku ancaman mengeksploitasi aset untuk mendapatkan akses. Karena alat ASM membantu organisasi melihat jaringan mereka dari sudut pandang seorang peretas, mereka dapat membantu mengungkap kerentanan zero-day.
Umpan intelijen ancaman: Peneliti keamanan seringkali adalah yang pertama menandai kerentanan zero-day. Organisasi yang terus memperbarui informasi intelijen ancaman eksternal kemungkinan akan lebih cepat mengetahui kerentanan zero-day.
Metode deteksi berbasis anomali: Malware zero-day dapat menghindari metode deteksi berbasis tanda tangan, tetapi alat yang menggunakan machine learning untuk mengenali aktivitas mencurigakan secara real time seringkali dapat menangkap serangan zero-day. Solusi deteksi berbasis anomali umum termasuk analisis perilaku pengguna dan entitas (UEBA), platform deteksi dan respons yang diperluas (XDR), alat deteksi dan respons titik akhir (EDR), dan beberapa deteksi intrusi dan sistem pencegahan intrusi.
Arsitektur zero trust: Jika seorang peretas mengeksploitasi kerentanan zero-day untuk membobol ke jaringan, arsitektur zero trust dapat membatasi kerusakan. Zero trust menggunakan autentikasi terus menerus dan akses istimewa paling rendah untuk mencegah gerakan lateral dan memblokir pelaku kejahatan yang ingin mencapai sumber daya sensitif.