Vandaag wil ik het eens hebben over het fenomeen zero click exploit. Dit In tegenstelling tot traditionele exploits, waarbij social engineering wordt gebruikt om een gebruiker te verleiden tot interactie, zoals het klikken op een link, het openen van een bijlage of het downloaden van een bestand. Een zero click exploit is een geavanceerde en gevaarlijke vorm van cyberaanval waarbij een aanvaller een kwetsbaarheid in software of hardware misbruikt (al dan wel niet een zero day exploit) zonder dat het slachtoffer enige actie hoeft te ondernemen,
Er zijn verschillende gevallen bekend waar een zero click exploit is toegepast (o.a. Whatsapp, Imessage en email).Zie https://github.com/ProjectZeroDays/AI-Driven-Zero-Click-Exploit-Deployment-Framework ,keuze genoeg.
Een security awareness training kan hier weinig aan kan doen (‘open geen bijlage van onbekende personen’ of open geen office bestanden). Het lezen van een mail (dan wel preview) is al voldoen om een malware te activeren.
Stel je de volgende scenario voor, je gebruikt whatsapp op je laptop/ mobiel. Het verkeer van whatsapp is versleuteld en daardoor niet controleerbaar door een IDS. Een firewall laat verkeer op basis van IP-adressen, poorten of protocollen toe. Een kwetsbaarheid wordt misbruikt middels een zero click exploit en start een C2 (command & control) sessie via https op en voila een hacker heeft een voet binnen het netwerk. Doordat het https is kan de content niet gecontroleerd worden. Natuurlijk zijn er mitsen en maren zal je zeggen maar ga ervan uit dat een hacker creatief genoeg is om EDR/ IPS/IDS kan omzeilen. Je moet je afvragen welke security controls toegepast wordt op verkeer wat vanuit het locale netwerk opgestart wordt.
Wat kan je eraan doen, het zijn natuurlijk open deuren wat ik zal zeggen maar stel je de vraag ben je 100% zeker dat je ze allemaal in orde hebt?
- Software-updates en patching: Snel updates uitvoeren om kwetsbaarheden te dichten.
- Lifecycle management: zorg dat je alle assets in zicht hebt en nog door de leverancier ondersteund wordt
- stricte monitoring van verkeer
Aanvullende respond maatregelen
- Applicatie-isolatie: zodat de impact van een exploit beperkt blijkt (‘containment’)
- afwijkend gedrag detecteren: stel een standaard set verkeer vast wat een client zou mogen, evt aangevuld met white listing. Zorg dat met threat intelligence bekende C2 server geblokkeerd worden
- Elk stukje software/ device bevat kwetsbaarheden, een hacker zal deze vinden en misbruiken. Onderschat een hacker niet.
En daarom als laatste hou het Zero Trust-beveiligingsmodel in je achterhoofd. Alles binnen én buiten het netwerk wordt als potentieel onveilig beschouwd. Iedereen maakt minimaal gebruik van Whatsapp/ iMessage/ Email en daardoor vatbaar voor zero click. Zie https://thehackernews.com/2025/02/meta-confirms-zero-click-whatsapp.html