零日攻擊

  此條目介紹的是系統安全漏洞。關於臺灣電視劇，請見「零日攻擊_(電視劇)」。

零日漏洞或零時差漏洞（英語：zero-day vulnerability、0-day vulnerability）是指軟體或硬體中還沒有有效修補程式的安全漏洞，並且其供應商通常不知曉，而零日攻擊或零時差攻擊（英語：zero-day exploit、zero-day attack）則是指利用這種漏洞進行的攻擊。由於漏洞已經被描述或被利用，留給軟/硬體供應商來準備修補程式的時間只有「零天」。

儘管只有少數網路攻擊是基於零日漏洞的，但通常認為這比已知漏洞具有更大威脅，因為可以採取的對策更少。

國家是零日漏洞的主要使用者，因為發現、購買和編寫攻擊軟體的代價都很高。許多漏洞是由駭客或安全研究人員發現的，除了留作己用，他們還可能會向軟/硬體供應商披露這些漏洞（通常是為了換取漏洞賞金），亦或是出售給國家或犯罪集團。在許多流行的軟體公司開始對訊息和資料進行加密之後，零日漏洞的使用有所增加，因為被加密的資料一般只能通過在其尚未被加密時入侵軟體來取得。

儘管開發人員的目標是交付完全按預期工作的產品，但實際上所有軟體和硬體（英語：Hardware bug）都包含錯誤。^[1]如果一個錯誤造成了安全風險，它就被稱為漏洞。漏洞的可利用性因惡意攻擊者而異。有些漏洞根本無法利用，而另一些漏洞則可被用於通過阻斷服務攻擊擾亂裝置。最有價值的漏洞允許攻擊者在使用者不知情的情況下注入並執行他們自己的代碼。^[2]

雖然「零日」一詞最初指的是軟硬體供應商意識到漏洞後的時間，但零日漏洞也可以定義為沒有修補程式或其他修復程式可用的漏洞的部分集合。^[3][4][5]零日攻擊是指利用此類漏洞的任何攻擊。^[2]

漏洞利用是指利用漏洞侵入目標系統以達到破壞操作、安裝惡意軟體或竊取資料等目的的傳送機制。^[6] 研究人員 Lillian Ablon 和 Andy Bogart 寫道，「關於零日漏洞利用的真實程度、用途、益處和危害，我們知之甚少」。^[7] 基於零日漏洞的漏洞利用被認為比利用已知漏洞的漏洞利用更危險。^[8][9] 然而，大多數網路攻擊很可能利用的是已知漏洞，而不是零日漏洞。^[7]

國家是零日漏洞利用的主要使用者，這不僅是因為發現或購買漏洞的成本高昂，還因為編寫攻擊軟體的成本也很高。然而，任何人都可以使用漏洞，^[4] 根據蘭德公司的研究，「任何堅決的攻擊者都可以以可承受的價格獲得針對幾乎任何目標的零日漏洞」。^[10] 許多定向攻擊^[11] 和大多數進階持續性威脅都依賴於零日漏洞。^[12]

據估計，從零日漏洞開發漏洞利用的平均時間為 22 天。^[13] 由於流行軟體中反漏洞利用功能的增強，開發漏洞利用的難度一直在增加。^[14]

零日漏洞通常分為活漏洞（alive vulnerabilities）：指未向公眾披露的漏洞；以及死漏洞（dead vulnerabilities）：指已被公開披露但尚未修補的漏洞。活漏洞分為正被維護者積極尋找的活躍漏洞（living vulnerabilities）；以及無維護軟體中的永生漏洞（immortal vulnerabilities）。另外殭屍漏洞（zombie vulnerabilities）是指已在新版本中被修補，但能夠在舊版本的軟體中被利用的漏洞。^[15][16]

即使是公開已知和殭屍漏洞，也經常可以在很長一段時間內被利用。^[17][18] 安全修補程式的開發可能需要幾個月的時間，^[19] 甚至可能永遠不會被開發出來。^[18] 修補程式可能會對軟體的功能產生負面影響，^[18] 使用者可能需要測試修補程式以確認其功能和相容性。^[20] 較大的組織可能無法辨識和修補所有依賴項，而較小的企業和個人使用者可能不會安裝修補程式。^[18] 研究表明，如果漏洞被公開或發布了修補程式，則網路攻擊的風險會增加。^[21] 網路犯罪分子可以對修補程式進行逆向工程以找到潛在的漏洞並開發漏洞利用，^[22] 而且速度通常比使用者安裝修補程式的速度更快。^[21]

根據蘭德公司 2017 年發布的研究報告，零日漏洞的平均可利用時間為 6.9 年，^[23] 而從第三方購買的零日漏洞的平均可利用時間僅為 1.4 年。^[13] 研究人員無法確定任何特定平台或軟體（例如開源軟體）是否與零日漏洞的生命周期有任何關係。^[24] 儘管蘭德公司的研究人員發現，5% 的秘密零日漏洞會被其他人發現，^[23] 但另一項研究發現，重疊率更高，每年高達 10.8% 至 21.9%。

由於零日漏洞利用的定義是尚無修補程式可以阻止的漏洞，因此所有使用存在漏洞的軟體或硬體的系統都處於風險之中，包括銀行和政府等所有修補程式都已更新的安全系統。^[25] 防毒軟體通常無法有效抵禦被零日攻擊引入的惡意軟體。^[26] 安全系統的設計是圍繞已知漏洞展開的，而零日漏洞利用插入的惡意軟體可能會在系統中長時間執行而不被發現。^[18]儘管已經有很多關於有效檢測零日漏洞利用的系統提案，但這在2023年仍然在研究領域活躍。^[27]

許多組織已經採取了縱深防禦策略，因此攻擊很可能需要突破多級安全防護，這增加了攻擊的難度。^[28] 常規的網路安全措施，如培訓和訪問控制（如多因素身分驗證、最小權限原則和物理隔離），使得利用零日漏洞入侵系統變得更加困難。^[29] 由於編寫完全安全的軟體是不可能的，一些研究人員認為，提高漏洞利用的成本是減少網路攻擊負擔的有效策略。^[30]

一般而言，零時差攻擊唯一徹底解決方法便是由原軟體發行公司提供修補程式，但此法通常較慢，因此資安軟體公司通常會在最新的病毒碼中提供迴避已知零時差攻擊的功能，但無法徹底解決漏洞本身^[31]。根據賽門鐵克第14期網絡安全威脅研究在2008年分析的所有瀏覽器中，Safari平均要在漏洞出現9天後才會完成修補，需時最久。Mozilla Firefox平均短於1天，需時最短^[32]。

零時差攻擊及其利用代碼不僅對犯罪駭客而言具有極高的利用價值，一些國家間諜和網軍部隊，例如美國國家安全局和美國網戰司令部也非常重視這些資訊^[33]。

零日漏洞利用程式可以賣到數百萬美元。^[4] 買家主要有三類：^[34]

• 白帽：漏洞的發現者將其出售給供應商，或將其披露給第三方機構（如 Zero Day Initiative（英語：Zero Day Initiative）），再由第三方機構轉告供應商。此類披露通常是為了獲得漏洞賞金。^[35][36][37] 然而，並非所有公司都對漏洞披露持積極態度，因為這可能會導致法律責任和運營負擔。有甚者在無償披露漏洞後，收到供應商的停止並終止函並不少見。^[38]
• 灰帽：這是規模最大、^[4]獲利最豐厚的市場。政府或情報機構購買零日漏洞後，可能會將其用於攻擊、儲存漏洞或通知供應商。^[34] 美國聯邦政府是最大的買家之一。^[4] 截至 2013 年，五眼聯盟（美國、英國、加拿大、澳大利亞和紐西蘭）占據了該市場的大部分份額，其他重要買家包括俄羅斯、印度、巴西、馬來西亞、新加坡、朝鮮和伊朗。後來，中東國家也加大了在該領域的支出。^[39]
• 黑帽：有組織犯罪集團，他們通常更中意漏洞利用程式，而不僅僅是漏洞資訊。^[40] 這些使用者更有可能使用「半日漏洞」，即已有修補程式可用的漏洞。^[41]

2015 年，政府和犯罪集團的零日漏洞市場規模估計至少是白帽市場的十倍。^[34]賣家通常是駭客組織，他們尋找廣泛使用的軟體中的漏洞以取得經濟利益。^[42] 有些賣家只向特定買家出售，而另一些賣家則向任何人出售。^[41] 白帽賣家更有可能受到非金錢獎勵的激勵，例如認可和智力挑戰。^[43] 出售零日漏洞利用程式是合法的。^[37][44] 儘管有人呼籲加強監管，但法律教授梅林·菲德勒（Mailyn Fidler）表示，達成國際協定的可能性很小，因為俄羅斯和以色列等關鍵參與者對此不感興趣。^[44]

在零日漏洞交易中，買賣雙方往往非常隱秘，依靠保密協定和機密資訊法律來保守漏洞的秘密。如果漏洞被公開，就可以對其進行修補，其價值也會隨之崩潰。^[45] 由於市場缺乏透明度，各方可能難以找到公平的價格。如果漏洞在得到驗證之前就被披露，或者買方拒絕購買但仍然使用了該漏洞，賣家可能無法獲得報酬。隨著中間商的激增，賣家可能永遠不知道漏洞利用程式的最終用途。^[46]買方也無法保證該漏洞沒有被出售給其他方。^[47]買賣雙方都在暗網上發布廣告。^[48]

2022 年發表的一項研究基於單個漏洞經紀人支付的最高價格，發現漏洞利用程式的價格年化通貨膨脹率為 44%。遠端零點擊漏洞利用程式的價格最高，而需要本地訪問裝置的漏洞利用程式則便宜得多。^[49]廣泛使用的軟體中的漏洞也更貴。^[50]他們估計，大約有 400 到 1200 人向該經紀人出售漏洞利用程式，他們每年的平均收入約為 5000 到 20000 美元。^[51]

截至2017年 (2017-Missing required parameter 1=month!)^[update]，關於美國政府是否應該披露其已知的漏洞以便進行修補，還是將其保密以供己用，一直存在爭論。^[52]國家選擇對漏洞保密的原因包括希望將其用於進攻性目的，或用於滲透測試等防禦性目的。^[10]而披露漏洞則可以降低消費者和所有軟體使用者成為惡意軟體或資料洩露受害者的風險。^[1]

在蘋果、谷歌、臉書和微軟等公司對伺服器和資訊進行加密之後，零日漏洞攻擊的重要性日益凸顯。這意味著訪問使用者資料的唯一方法是在資料被加密之前，在其源頭進行攔截。^[25] 最著名的零日漏洞攻擊案例之一是震網病毒（Stuxnet），該病毒在 2010 年利用了四個零日漏洞對伊朗核計劃造成了破壞。^[7]震網病毒展示了零日漏洞攻擊的潛在破壞力，也引發了零日漏洞市場的擴張。^[39]

在美國大型科技公司拒絕在其軟體中安裝後門程式後，美國國家安全局（NSA）加大了對零日漏洞的搜尋力度，並責成特定入侵行動辦公室（TAO）發現和購買零日漏洞。^[53] 2007 年，美國國家安全局前雇員查理·米勒（英語：Charlie Miller (security researcher)）首次公開披露美國政府正在購買零日漏洞。^[54] 2013 年，美國國家安全局承包商雇員 愛德華·史諾登 洩露的檔案中披露了有關美國國家安全局參與零日漏洞攻擊的一些資訊，但缺乏細節。^[53] 記者妮可·珀洛斯得出結論：「要麼是史諾登作為承包商的身分無法讓他深入到政府系統中取得必要的情報，要麼是政府取得零日漏洞的一些來源和方法過於機密或具有爭議性，以至於該機構從未敢將其付諸筆端」。^[55]

• 震網（Stuxnet）
• 極光行動

• Attackers seize on new zero-day in Word from InfoWorld
• PowerPoint Zero-Day Attack May Be Case of Corporate Espionage from FoxNews
• Microsoft Issues Word Zero-Day Attack Alert^{[失效連結]} from eWeek