Zero-day beveiligingslekken worden gemiddeld tien maanden door hackers misbruikt voordat ze worden ontdekt. Daarnaast zijn er vermoedelijk veel meer zero-days dan tot nu toe aangenomen. Dat stellen onderzoekers Leyla Bilge en Tudor Dumitras van Symantec. Zero-day beveiligingslekken zijn kwetsbaarheden waarvoor nog geen update beschikbaar is en in veel gevallen is het probleem alleen bij de aanvallers bekend.

Die kunnen via dit soort kwetsbaarheden, bijvoorbeeld in Office, Windows, Internet Explorer of Adobe Reader organisaties infiltreren. Zero-day lekken zijn zeer waardevol en worden voornamelijk tegen een beperkt aantal doelwitten ingezet.

Onopgemerkt
De onderzoekers brachten in totaal 18 zero-day kwetsbaarheden van 2008 tot en met 2011 in kaart. De 'jongste' zero-day in deze periode werd na 19 dagen ontdekt, terwijl de oudste 30 maanden onopgemerkt bleef. Gemiddeld komen de onderzoekers op 312 dagen uit voordat een zero-day bekend wordt. De meeste zero-days dateren uit 2009, toen er zeven werden ontdekt. In 2011 stopte de teller op twee.

Vijftien van de zero-day waren tegen een beperkt aantal doelwitten (236 in totaal) gericht. De overige drie, Stuxnet, Conficker en een Bloodhound exploit, zijn tegen zo'n twee miljoen systemen ingezet. Opmerkelijk genoeg werd het lek waardoor de Confickerworm zich via verspreidde al acht maanden eerder misbruikt voordat Conficker verscheen.

Exploits
"Zero-day-aanvallen zijn lastig te voorkomen omdat ze onbekende beveiligingslekken misbruiken, waarvoor nog geen patches beschikbaar zijn en geen anti-virus of intrusion-detection signatures bestaan", merken de onderzoekers op. Die stellen dat zolang er fouten in software aanwezig zijn en het ontwikkelen van exploits voor nieuwe lekken geld oplevert, dit soort aanvallen blijven voorkomen.

"60% van de zero-day kwetsbaarheden die we in ons onderzoek identificeerden waren voorheen niet bekend, wat suggereert dat er veel meer zero-day aanvallen zijn dan voorheen gedacht, mogelijk meer dan twee keer zoveel."