Atak zero‑day (zwany również 0‑day) to jedno z najpotężniejszych i najtrudniejszych do obrony zagrożeń we współczesnym cyberbezpieczeństwie, ponieważ wykorzystuje nieznaną lukę w oprogramowaniu lub sprzęcie, zanim producent w ogóle dowie się o jej istnieniu i opracuje poprawkę. Ten typ ataku jest szczególnie groźny dla organizacji, gdyż tradycyjne systemy oparte na sygnaturach (np. programy antywirusowe i zapory) nie są w stanie go wykryć. Nazwa „zero‑day” wskazuje, że producent ma dosłownie zero dni na naprawienie błędu od momentu jego ujawnienia poprzez nadużycie. W 2024 roku badacze z Google Threat Intelligence Group śledzili 75 luk zero‑day aktywnie wykorzystywanych „in the wild”, z czego 44% celowało w produkty dla przedsiębiorstw – to wyraźny zwrot strategii napastników w stronę infrastruktury korporacyjnej.
- Definicja i pochodzenie terminu zero‑day
- Mechanika i działanie ataków zero‑day
- Dlaczego ataki zero‑day są niezwykle niebezpieczne
- Rzeczywiste przykłady ataków zero‑day z przeszłości i współczesności
- Obecny krajobraz zagrożeń i statystyki z lat 2024–2025
- Rynek exploitów zero‑day w cieniu
- Aktorzy zagrożeń wykorzystujący exploity zero‑day
- Strategiczne przesunięcie uwagi atakujących
- Metody obrony i mitygacji przed atakami zero‑day
- Polityki ujawniania podatności i odpowiedzialne ujawnianie
- Przyszłe trendy i pojawiające się wyzwania
- Wnioski i rekomendacje
Definicja i pochodzenie terminu zero‑day
Aby w pełni zrozumieć zagrożenie zero‑day, warto precyzyjnie zdefiniować, czym jest ta podatność i jak różni się od innych luk bezpieczeństwa. Luka zero‑day to nowa, niezałatana podatność w oprogramowaniu lub sprzęcie, o której producent jeszcze nie wie lub nie udostępnił na nią poprawki. Kluczowe jest to, że cyberprzestępcy wykorzystują taką lukę, zanim ktokolwiek po stronie producenta lub zespołów bezpieczeństwa ją rozpozna. Eksploity zero‑day pozostają skuteczne do czasu wydania łatki i wdrożenia aktualizacji przez użytkowników.
Termin „zero‑day” wywodzi się z wczesnych czasów hackingu i pierwotnie odnosił się do liczby dni, jakie minęły od premiery nowego oprogramowania. Z czasem zaczął oznaczać liczbę dni, jakie miał producent na naprawę błędu od momentu jego odkrycia przez napastnika. Obecnie „zero‑day” oznacza brak dostępnej poprawki na aktywnie wykorzystywaną lukę, co naraża wszystkich użytkowników danego rozwiązania.
W branży bezpieczeństwa funkcjonowało podejście „odpowiedzialnego ujawniania” – badacz powiadamia producenta o luce i daje mu czas na wydanie poprawki. Zdarza się jednak, że informacja o luce bywa sprzedawana cyberprzestępcom – wówczas producent dowiaduje się o problemie dopiero po czasie, gdy jest on już wykorzystywany, co klasyfikuje go jako zero‑day.
Mechanika i działanie ataków zero‑day
Aby uporządkować typowy przebieg ataku, poniżej zestawiono siedem kluczowych faz, które często występują w praktyce:
- 1. odkrycie podatności – identyfikacja luki (lub jej zakup na czarnym rynku) w wyniku analizy binarnej, testów penetracyjnych lub przeglądu kodu;
- 2. budowa ładunku (payload) – przygotowanie złośliwego kodu, np. instalatora malware’u, ransomware albo backdoora zapewniającego trwały dostęp;
- 3. wybór i rozpoznanie celu – typowanie ofiar ręcznie lub automatycznie (boty, skanery) w poszukiwaniu podatnych środowisk;
- 4. dostarczenie i wykonanie ataku – spear phishing, kampanie drive‑by, trojanizowane aktualizacje lub zaufane platformy stron trzecich z podatnościami;
- 5. eskalacja i poruszanie się lateralnie – podnoszenie uprawnień, instalacja backdoorów, rekonesans i ruch w poprzek sieci;
- 6. ukrywanie obecności – unikanie detekcji dzięki brakom sygnatur i technikom maskującym artefakty ataku;
- 7. eksfiltracja i/lub odkrycie – kradzież danych, doinstalowywanie narzędzi, a następnie wykrycie luki przez producenta lub badaczy.
Krytyczne jest to, że rozwiązania oparte na sygnaturach (antywirusy, tradycyjne firewalle) są wobec zero‑dayów z definicji nieskuteczne, ponieważ rozpoznają jedynie znane wzorce ataków. Oznacza to, że nawet w pełni zaktualizowana infrastruktura może paść ofiarą tego typu wektorów.
Dlaczego ataki zero‑day są niezwykle niebezpieczne
Poniżej najważniejsze powody, dla których zero‑daye stanowią ponadprzeciętne ryzyko dla organizacji:
- brak czasu na przygotowanie – ponieważ luka jest nieznana, zespoły bezpieczeństwa nie mogą zawczasu wdrożyć mitygacji; badania Mandiant wskazują, że eksploatacje często następują przed wydaniem poprawki lub w kilka dni po niej;
- omijanie tradycyjnych zabezpieczeń – ataki zero‑day pomijają klasyczne bariery (zapory, AV), bo nikt nie zna jeszcze ich wzorca ani wektora blokady;
- długotrwała niewidoczność – średni czas do identyfikacji incydentu (MTTI) w 2023 roku to 204 dni, a czas powstrzymania (MTTC) 73 dni, co łącznie daje ok. 277 dni ekspozycji;
- brak łat i obejść – w przypadku zero‑daya poprawka nie istnieje, więc nawet najlepiej zabezpieczone organizacje są podatne;
- szybkie rozprzestrzenianie – gdy exploit trafi do robaka lub masowego malware’u, zasięg rośnie lawinowo (np. WannaCry/EternalBlue: 300 000+ infekcji w 150+ krajach).
Rzeczywiste przykłady ataków zero‑day z przeszłości i współczesności
Dla kontekstu ryzyka warto przywołać głośne przypadki wykorzystania nieznanych podatności:
- Stuxnet (2010) – użył czterech luk zero‑day w Microsoft Windows do sabotażu urządzeń ICS, jednocześnie maskując anomalie w telemetrii;
- WannaCry (2017) – ransomware oparty na exploicie EternalBlue (wyciek NSA), w godziny zainfekował 300 000+ urządzeń; straty sięgały do 4 mld USD;
- MOVEit Transfer (2023) – grupa Clop wykorzystała krytyczną SQL injection zero‑day, kradnąc dane z tysięcy organizacji i żądając okupu;
- Ivanti Connect Secure VPN (2023–2024) – UNC5221 nadużywała m.in. CVE‑2023‑46805 i CVE‑2024‑21887, wdrażając web‑shelle i wykonując ruchy lateralne;
- HAFNIUM vs Microsoft Exchange (2021) – cztery luki zero‑day (m.in. CVE‑2021‑26855, SSRF) umożliwiały przejęcia skrzynek i trwałą obecność.
Obecny krajobraz zagrożeń i statystyki z lat 2024–2025
W 2024 roku Google Threat Intelligence Group monitorowała 75 aktywnie eksploatowanych luk zero‑day (vs 97 w 2023 i 63 w 2022). Spadek liczby nie oznacza mniejszego ryzyka – to efekt strategicznego przesunięcia celów w stronę rozwiązań enterprise.
44% ataków zero‑day w 2024 roku dotyczyło rozwiązań korporacyjnych (vs 37% w 2023), a ponad 60% z nich uderzało w produkty bezpieczeństwa i sieci (np. VPN i firewalle).
Dla łatwiejszego porównania podstawowych metryk w latach 2022–2024 zestawiono je poniżej:
| Rok | Liczba zero‑day „in the wild” | Udział ataków na enterprise |
|---|---|---|
| 2022 | 63 | — |
| 2023 | 97 | 37% |
| 2024 | 75 | 44% |
Spośród 75 luk w 2024 roku 34 przypisano do konkretnych grup. Operacje szpiegowskie (APT) stanowiły ponad połowę przypisanych eksploatacji, a grupy sponsorowane przez państwo i klienci komercyjnych dostawców nadzoru (CSV) odpowiadały łącznie za >50% przypadków.
Najczęściej atakowani dostawcy w 2024 roku to:
| Dostawca | Liczba exploitów (2024) |
|---|---|
| Microsoft | 26 |
| 11 | |
| Ivanti | 7 |
| Apple | 5 |
Forescout wskazuje, że liczba wykorzystań zero‑day wzrosła o 46% między 2024 a 2025 rokiem, m.in. za sprawą narzędzi do tworzenia exploitów wspieranych przez AI oraz profesjonalizacji i lepszego finansowania grup przestępczych.
Rynek exploitów zero‑day w cieniu
Istnieje niejawny, wysoce dochodowy rynek podatności i exploitów zero‑day, działający w kilku segmentach. Oto ich krótkie charakterystyki:
- biały rynek – zgłaszanie twórcom oprogramowania (bug bounty, programy VDP); historycznie często < 10 000 USD, choć bywa do 100 000 USD;
- szary rynek – pośrednicy i półformalne transakcje, ograniczona przejrzystość warunków i odbiorców;
- czarny rynek – najwyższe stawki (zwykle 100 000–200 000 USD i więcej), ekskluzywne exploity na systemy operacyjne i infrastrukturę klasy enterprise.
Sprzedawcami są często grupy hakerskie, które monetyzują wykryte podatności; kupującymi – grupy finansowo motywowane, APT sponsorowane przez państwa i służby wywiadowcze. Transakcje chronią anonimowość stron; dominują kryptowaluty i skradzione środki. NSA bywa krytykowana za kupowanie i gromadzenie zero‑dayów do celów ofensywnych, co mimo większej transparentności od 2007 roku nadal budzi kontrowersje.
Aktorzy zagrożeń wykorzystujący exploity zero‑day
Spektrum podmiotów zdolnych do pozyskania i użycia exploitów stale się poszerza:
- państwowe APT – najwyższe zasoby i celowany cyberwywiad (np. HAFNIUM, UNC5221, APT37); regularne kampanie szpiegowskie i ataki na infrastrukturę krytyczną;
- grupy finansowe – gangi ransomware i operatorzy wyłudzeń (np. Clop), coraz częściej atakujące łańcuchy dostaw;
- komercyjni dostawcy nadzoru (CSV) – „spyware vendors” tworzący zaawansowane narzędzia dla rządów, nierzadko oparte o exploity zero‑day.
Strategiczne przesunięcie uwagi atakujących
Napastnicy przenoszą ogień na infrastrukturę przedsiębiorstw, zwłaszcza produkty bezpieczeństwa i sieci. To odpowiedź na skuteczniejsze zabezpieczenia platform konsumenckich.
Funkcje takie jak MiraclePtr w Chrome (ograniczanie klas błędów pamięci) czy Lockdown Mode w iOS utrudniły ataki na przeglądarki i systemy mobilne. W 2024 roku liczba zero‑dayów w przeglądarkach spadła o ok. jedną trzecią, a w systemach mobilnych o połowę względem 2023 roku.
W efekcie VPN i firewalle stały się „miękkimi” celami o wysokiej wartości – są dostępne z Internetu, działają z szerokimi uprawnieniami, a jedno przejęcie może otworzyć drogę do całej sieci.
Metody obrony i mitygacji przed atakami zero‑day
Nie da się całkowicie wyeliminować ryzyka zero‑day, ale można je istotnie zredukować dzięki podejściu wielowarstwowemu (defense‑in‑depth):
- systemy EDR – analiza behawioralna na stacjach i serwerach, wykrywanie działań po eksploatacji (eskalacja uprawnień, kradzież poświadczeń, ruch lateralny);
- analiza behawioralna i anomalii – linie bazowe i ML do wykrywania odchyleń, identyfikacja wczesnych, nieznanych zagrożeń;
- segmentacja i mikrosegmentacja – izolowanie stref, ścisła kontrola dostępu i ograniczanie ruchu lateralnego;
- gotowość do incydentów (IR) – regularnie testowany plan izolacji, zabezpieczania dowodów i odtwarzania musi obejmować scenariusze zero‑day;
- monitoring ruchu sieciowego – bogata telemetria i analityka w czasie rzeczywistym zwiększa szanse na wczesne wykrycie;
- szybkie łatanie znanych luk – mimo że zero‑dayy są nieznane, większość ataków wciąż wykorzystuje znane CVE; dla krytycznych luk skracaj TTR do minimum;
- architektura Zero Trust – „nigdy nie ufaj, zawsze weryfikuj”: ciągła weryfikacja i zasada najmniejszych uprawnień redukują skutki kompromitacji;
- detekcja oparta na ML – łączenie metod nadzorowanych i nienadzorowanych, aby obniżyć odsetek fałszywych alarmów i wykrywać nowe wzorce.
Polityki ujawniania podatności i odpowiedzialne ujawnianie
Branża wypracowała ramy współpracy badaczy z dostawcami, by równoważyć bezpieczeństwo publiczne z czasem potrzebnym na przygotowanie poprawek:
- Zero Day Initiative (ZDI) – standardowo 120 dni na naprawę; brak odpowiedzi w 5 dni roboczych skutkuje eskalacją kontaktu; możliwa publikacja ograniczonego biuletynu po 15 dniach roboczych;
- Google Project Zero – polityka 90+30: 90 dni na patch, szczegóły po 30 dniach od publikacji łatki; jeśli brak poprawki, publikacja po 90 dniach; od lipca 2025 roku ograniczone informacje publikowane w tydzień od zgłoszenia;
- OWASP – zalecenia: bezpieczny kanał zgłoszeń, jasny zakres VDP/bug bounty, terminowe odpowiedzi, otwarta komunikacja, brak gróźb prawnych wobec rzetelnych badaczy, właściwe nadawanie identyfikatorów CVE.
Przyszłe trendy i pojawiające się wyzwania
Poniższe kierunki będą wzmacniać presję na zespoły bezpieczeństwa w najbliższych latach:
- AI przyspiesza odkrywanie i eksploatację – automatyzacja testów i analizy kodu oraz polimorficzne malware utrudniające detekcję;
- demokratyzacja zdolności zero‑day – wiedza i narzędzia szerzej dostępne, czarny rynek umożliwia zaawansowane ataki mniejszym grupom;
- atak na łańcuch dostaw – przejęcie jednego dostawcy (software/MSP) daje dostęp do wielu ofiar przez zaufane kanały;
- rosnące ryzyko w IoT i OT/ICS – słabsze zabezpieczenia i potencjalnie niszczycielskie skutki w sektorach krytycznych;
- zacieranie granic szpiegostwo–finanse – APT i dostawcy nadzoru współdzielą zdolności z grupami ransomware, zwiększając skalę i impakt.
Wnioski i rekomendacje
Ataki zero‑day to trwały, krytyczny element krajobrazu zagrożeń – są nieznane w momencie nadużycia, omijają tradycyjne kontrole i prowadzą do poważnych strat. W 2024 roku udokumentowano 75 aktywnie wykorzystywanych zero‑dayów; 44% celowało w produkty dla przedsiębiorstw, zwłaszcza w rozwiązania bezpieczeństwa i sieci.
Rynek zero‑dayów jest wysoce opłacalny – ceny na czarnym rynku sięgają 100 000–200 000 USD i więcej, co oznacza, że dostęp do nich nie jest już ograniczony do wąskiej elity.
Skuteczna obrona wymaga strategii wielowarstwowej (EDR, analiza behawioralna, segmentacja, gotowość IR, Zero Trust, szybkie łatanie znanych luk) oraz ciągłego dostosowywania się do ewoluujących technik atakujących.
Kluczowa jest współpraca między organizacjami, dostawcami, badaczami i administracją publiczną: wymiana informacji o zagrożeniach, wspólne badania i najlepsze praktyki ujawniania podatności. Reaktywność nie wystarczy – potrzebne jest proaktywne, adaptacyjne bezpieczeństwo z szybkim wykrywaniem i reakcją, aby minimalizować wpływ nieuniknionych naruszeń.