Zero-day
Aanvallen1. Afkorting voor zero-day vulnerability. Een kwetsbaarheid waarvoor nog geen patch beschikbaar is, omdat de maker van de kwetsbare software nog geen tijd (nul dagen) heeft gehad om de kwetsbaarheid te verhelpen.De zwakke plek is pas een risico als er een exploit voor is gemaakt die de zwakke plek effectief weet te misbruiken. 2. Afkorting voor zero-day exploit. Een zero day exploit is een speciale exploit. Hij is speciaal omdat de zwakke plek die wordt misbruikt niet bij de leverancier bekend is en dus ook nog niet is hersteld. Omdat de zwakke plek nog niet bekend is, kan niemand zich er goed tegen beschermen. Daarom is een zero day exploit heel waardevol voor aanvallers. Ontdekkers van zero days kunnen ze voor veel geld verkopen aan criminelen of inlichtingendiensten.
Een zero-day is een kwetsbaarheid in software die onbekend is bij de softwareleverancier en waarvoor nog geen patch of beveiligingsupdate bestaat. De naam verwijst naar het feit dat de leverancier nul dagen heeft gehad om het probleem op te lossen op het moment dat de kwetsbaarheid wordt ontdekt of misbruikt. Zero-days behoren tot de gevaarlijkste dreigingen in cybersecurity omdat er geen directe verdediging tegen beschikbaar is op het moment van misbruik. Aanvallers die een zero-day ontdekken of kopen, hebben een tijdvenster waarin ze ongehinderd systemen kunnen compromitteren voordat de leverancier een oplossing levert.
Hoe werkt een zero-day?
Het zero-day-ecosysteem kent drie fases. Eerst wordt een kwetsbaarheid ontdekt, hetzij door een beveiligingsonderzoeker die het via responsible disclosure meldt, hetzij door een aanvaller die het voor zichzelf houdt. Vervolgens wordt er een exploit ontwikkeld, code die de kwetsbaarheid misbruikt om ongeautoriseerde toegang te verkrijgen, willekeurige code uit te voeren of data te stelen. Tot slot wordt de exploit ingezet tegen doelwitten, soms gericht tegen specifieke organisaties door staatsgesponsorde groepen, soms breed via geautomatiseerde aanvallen wanneer de exploit in het criminele circuit terechtkomt.
Volgens Google Threat Intelligence werden in 2025 negentig zero-day kwetsbaarheden actief misbruikt in het wild, een stijging ten opzichte van 78 in 2024. Bijna de helft, 43 stuks, was gericht op enterprise-technologie, een historisch record dat aantoont dat aanvallers zich steeds meer richten op bedrijfssystemen. Microsoft was met 25 zero-days het meest getroffen platform, gevolgd door Google (11), Apple (8) en Cisco (4). Staatsgesponsorde groepen, met name vanuit China, blijven de meest actieve gebruikers van zero-day exploits, met een focus op firewalls, VPN-gateways en andere edge-apparaten die de netwerk perimeter bewaken.
Het tijdvenster tussen publicatie van een kwetsbaarheid en actief misbruik krimpt alarmderend snel. In 2025 werd bijna 29% van alle bekende misbruikte kwetsbaarheden op of voor de dag van CVE-publicatie al geexploiteerd, een stijging ten opzichte van 24% in 2024. Zero-day exploits namen 46% toe in de eerste helft van 2025. Beveiligingsteams die de kloof tussen publicatie en patching in dagen meten, worden nu geconfronteerd met een venster van slechts uren. Deze versnelling maakt traditionele patchcyclussen ontoereikend als enige verdediging.
Hoe herken je een zero-day?
Zero-days zijn per definitie moeilijk te herkennen omdat er geen bekende signatures of IOC's voor bestaan op het moment van eerste misbruik. Detectie vereist daarom gedragsgebaseerde methoden die afwijkingen van normaal gedrag identificeren. EDR-oplossingen monitoren endpoints op afwijkend gedrag dat kan wijzen op exploitatie van een onbekende kwetsbaarheid. Denk aan onverwachte procescreaties vanuit applicaties die normaal geen child-processen starten, geheugenmanipulatie, credential dumping of privilege-escalatie die niet past bij normaal gebruik.
Threat intelligence speelt een cruciale rol bij vroege waarschuwing. Onderzoekers en inlichtingendiensten ontdekken soms zero-day exploits in het wild voordat ze breed worden ingezet. Organisaties als het NCSC, CISA en Google TAG publiceren waarschuwingen zodra ze zero-day misbruik detecteren. Abonneer je op deze feeds en integreer ze in je SIEM voor snelle detectie en automatische correlatie met je eigen netwerkactiviteit.
Anomaliedetectie in netwerkverkeer kan ook wijzen op zero-day exploitatie. Ongebruikelijke verkeerspatronen naar command-and-control servers, onverwachte data-exfiltratie, laterale beweging die niet past bij normale werkpatronen of plotselinge toename in DNS-queries naar onbekende domeinen zijn indicatoren die nader onderzocht moeten worden. Network Detection and Response (NDR) biedt deze visibility specifiek op netwerkniveau als aanvulling op endpoint-gebaseerde detectie.
De markt voor zero-day exploits is een complex ecosysteem met zowel legitieme als illegale spelers die elk hun eigen rol vervullen. Bug bounty-programma's van bedrijven als Google, Microsoft en Apple betalen onderzoekers voor het verantwoord melden van kwetsbaarheden, met beloningen die kunnen oplopen tot honderdduizenden euro's voor kritieke zero-days in populaire producten. Exploit brokers zoals Zerodium kopen zero-days voor bedragen tot twee miljoen dollar voor de meest waardevolle exploits, zoals remote jailbreaks voor iOS-apparaten. Op het dark web worden zero-days verhandeld aan criminele organisaties die ze inzetten voor financieel gewin of aan entiteiten die ze gebruiken voor surveillance en spionage.
Zero-click exploits zijn een bijzonder gevaarlijke variant van zero-day aanvallen die steeds vaker voorkomen. Bij een zero-click exploit hoeft het slachtoffer geen enkele actie te ondernemen, zoals het klikken op een link of het openen van een bijlage. De exploit wordt geactiveerd door simpelweg een bericht te ontvangen, een afbeelding te laden of een netwerkpakket te verwerken. De Pegasus-spyware van NSO Group maakte gebruik van meerdere zero-click zero-days om smartphones te compromitteren zonder enige interactie van het slachtoffer. Bescherming tegen zero-click exploits vereist een combinatie van netwerksegmentatie, lockdown-modus op apparaten, applicatie-sandboxing en het snel toepassen van beveiligingsupdates zodra deze beschikbaar komen.
Hoe bescherm je je tegen zero-day?
Omdat er geen patch beschikbaar is voor een zero-day op het moment van ontdekking, richt de verdediging zich op het beperken van de impact wanneer exploitatie plaatsvindt. Defense in depth, een gelaagde beveiligingsaanpak, zorgt ervoor dat een aanvaller die een kwetsbaarheid misbruikt nog steeds meerdere barrières moet doorbreken voordat kritieke systemen of data bereikt worden. Netwerksegmentatie voorkomt dat een aanvaller die een systeem compromitteert, lateraal naar kritieke systemen kan bewegen.
Het least privilege-principe minimaliseert de schade die een geexploiteerde kwetsbaarheid kan aanrichten. Als een gecompromitteerd systeem of account beperkte rechten heeft, is de impact van een zero-day exploit navenant kleiner. Combineer dit met applicatie-whitelisting om te voorkomen dat een exploit ongeautoriseerde software kan uitvoeren op het gecompromitteerde systeem.
Patch management blijft essentieel, niet voor de zero-day zelf maar voor het moment dat de leverancier een patch uitbrengt. Hoe sneller je patcht na een security update, hoe kleiner het venster waarin aanvallers de nu bekende kwetsbaarheid nog kunnen misbruiken tegen je systemen. Automatiseer patchprocessen waar mogelijk en test patches snel om de uitrol te versnellen. Gegeven dat 29% van kwetsbaarheden op de dag van publicatie al wordt misbruikt, is elke dag vertraging een dag extra risico.
Virtual patching via web application firewalls en IPS-systemen kan tijdelijke bescherming bieden tegen specifieke zero-day exploits tot de officiele patch beschikbaar en getest is. Leveranciers en beveiligingsonderzoekers publiceren vaak sneller mitigatie-adviezen en workarounds dan volledige patches, die je direct kunt implementeren om het risico te verkleinen terwijl je op de definitieve oplossing wacht.
Veelgestelde vragen over zero-day
Wat is het verschil tussen een zero-day en een bekende kwetsbaarheid?
Een zero-day is onbekend bij de leverancier en heeft geen patch of mitigatie beschikbaar. Een bekende kwetsbaarheid is gepubliceerd met een CVE-nummer en heeft doorgaans een beschikbare beveiligingsupdate. Beide vereisen actie maar de urgentie en aanpak verschillen fundamenteel.
Hoeveel zero-days worden jaarlijks ontdekt?
Google Threat Intelligence rapporteerde 90 actief misbruikte zero-days in 2025. Het werkelijke aantal ontdekte zero-days ligt hoger omdat niet alle kwetsbaarheden actief worden misbruikt of publiek worden gemaakt. Sommige worden stilgehouden door inlichtingendiensten of criminele groepen.
Kun je zero-days kopen?
Ja, er bestaat een legale en illegale markt voor zero-day exploits. Legitieme brokers zoals Zerodium kopen exploits voor beveiligingsonderzoek en verkopen ze aan inlichtingendiensten. Op het dark web worden zero-days verhandeld voor tienduizenden tot miljoenen euro's, afhankelijk van het doelwitsysteem.
Hoe snel moet je reageren op een zero-day melding?
Direct. In 2025 werd 29% van de kwetsbaarheden al op de dag van publicatie misbruikt. Zodra een zero-day wordt gemeld, implementeer je alle beschikbare mitigatiemaatregelen onmiddellijk en bereid je je voor op de patch zodra die uitkomt. Elke uur telt.
Beschermt een firewall tegen zero-days?
Een firewall biedt beperkte bescherming tegen zero-days. Veel zero-days in webapplicaties worden misbruikt via legitiem netwerkverkeer dat de firewall doorlaat. Gelaagde beveiliging met EDR, netwerksegmentatie, gedragsanalyse en virtual patching biedt betere bescherming dan een firewall alleen.
Versterk je verdediging tegen onbekende dreigingen. Vergelijk Patch & Vulnerability Management oplossingen op IBgidsNL.