Exploit to kod lub technika, która wykorzystuje lukę (podatność) w oprogramowaniu do wykonania nieautoryzowanych działań — przejęcia kontroli nad systemem, eskalacji uprawnień lub kradzieży danych. Najgroźniejsza kategoria exploitów to zero-day — ataki na luki, o których producent oprogramowania jeszcze nie wie, więc nie ma dla nich łatki. Antywirus ich nie wykryje, bo nie zna ich sygnatury.
Co to jest exploit — definicja
Słowo exploit pochodzi z angielskiego to exploit — wykorzystać. W kontekście bezpieczeństwa informatycznego exploit to fragment kodu, skrypt lub sekwencja danych wejściowych, która „wchodzi” przez błąd w programie i zmusza go do zachowania niezgodnego z zamierzeniem autora.
Każde oprogramowanie zawiera błędy. Większość z nich to nieszkodliwe bugi wpływające na stabilność. Ale część błędów można wykorzystać do przejęcia kontroli — i te właśnie nazywamy podatnościami (ang. vulnerabilities). Exploit jest narzędziem, które tę podatność aktywuje.
Rodzaje exploitów
Ze względu na typ podatności
- Buffer overflow — przepełnienie bufora pamięci: program otrzymuje więcej danych, niż przewiduje, co pozwala nadpisać kod wykonywalny.
- Use-after-free — odwołanie do wskaźnika pamięci po jej zwolnieniu, co daje atakującemu kontrolę nad zawartością tej pamięci.
- SQL injection — wstrzykiwanie kodu SQL przez formularz lub URL, co umożliwia dostęp do bazy danych.
- Privilege escalation — exploit pozwala zwykłemu użytkownikowi uzyskać uprawnienia administratora lub root.
Ze względu na wektor ataku
- Remote exploit — działa przez sieć, bez fizycznego dostępu do maszyny (np. przez przeglądarkę, e-mail, usługę sieciową).
- Local exploit — wymaga wcześniejszego dostępu do systemu, zazwyczaj używany do eskalacji uprawnień.
- Browser exploit / drive-by download — wejście na zainfekowaną stronę internetową wystarcza, by uruchomić exploit w przeglądarce bez żadnej interakcji użytkownika.
Co to jest exploit zero-day
Zero-day (z ang. „zerowy dzień”) to exploit atakujący podatność, która nie jest jeszcze znana producentowi oprogramowania. Nazwa pochodzi stąd, że producent ma „zero dni” na stworzenie łatki — bo o problemie jeszcze nie wie.
Etapy ataku zero-day:
- Atakujący (lub badacz bezpieczeństwa) odkrywa nieznaną lukę w oprogramowaniu.
- Tworzy exploit — kod, który aktywuje tę lukę.
- Używa go do ataku (lub sprzedaje go na rynku podatności).
- Producent (lub badacze) odkrywają atak — dopiero wtedy zaczyna biec czas na łatkę.
- Po wydaniu łatki podatność przestaje być „zero-day” — staje się podatnością N-day.
W oknie między odkryciem a opublikowaniem łatki systemy są bezbronny na daną podatność — żaden antywirus nie ma sygnatury, żaden IDS nie blokuje ruchu.
Ile kosztuje exploit zero-day
Exploity zero-day mają realną wartość rynkową — im ważniejszy cel (im popularniejsze oprogramowanie), tym wyższy koszt:
| Platforma/oprogramowanie | Szacunkowa cena na rynku exploitów |
|---|---|
| iOS (pełne przejęcie zdalnie) | do 2,5 mln USD |
| Android | 100 000 — 500 000 USD |
| Windows (eskalacja uprawnień) | od 50 000 USD |
| Microsoft Office / przeglądarka | 50 000 — 300 000 USD |
Legalny rynek exploitów tworzą firmy takie jak Zerodium i Crowdfense — skupują podatności od badaczy i sprzedają rządom i agencjom wywiadowczym. Nielegalny rynek działa na darknetowych forach.
Historyczne przykłady exploitów zero-day
Stuxnet (2010)
Robak stworzony przez USA i Izrael, który sabotował irańskie wirówki do wzbogacania uranu. Używał czterech osobnych luk zero-day w systemie Windows — rekord, który do dziś nie został pobity w jednym narzędziu.
EternalBlue (2017)
Exploit w protokole SMB Windows, opracowany przez NSA i wykradziony przez hakerów Shadow Brokers. Stał się podstawą ransomware WannaCry i NotPetya — ataki, które sparaliżowały szpitale, firmy i rządy na całym świecie.
Pegasus
Komercyjne narzędzie szpiegowskie izraelskiej firmy NSO Group, używające exploitów zero-day w iOS i Androidzie. „Kliknięcie zero” — instalacja bez żadnej interakcji ofiary. Używane do inwigilacji dziennikarzy, aktywistów i polityków.
Jak się chronić przed exploitami
- Aktualizacje priorytetowe — większość exploitów w obiegu atakuje podatności, na które łatki istnieją od tygodni lub miesięcy. Aktualizowanie systemu i oprogramowania usuwa ogromną część zagrożeń.
- Minimalizacja powierzchni ataku — odinstaluj oprogramowanie, którego nie używasz. Każdy zainstalowany program to potencjalny wektor ataku.
- Sandboxing — uruchamianie aplikacji w izolowanym środowisku ogranicza zakres, do jakiego exploit może się „wydostać”.
- EDR/XDR — systemy Endpoint Detection and Response analizują zachowanie procesów, nie tylko sygnatury. Mogą wychwycić zero-day przez analizę anomalii.
- Zero Trust i segmentacja sieci — nawet jeśli exploit przejmie jeden węzeł, segmentacja ogranicza ruch boczny (lateral movement) w sieci.
Źródła:
- netbe.pl — Exploity typu Zero-Day — niewidzialna broń cyberprzestępców
- sprinttech.pl — Luka zero-day — największe zagrożenie dla cyberbezpieczeństwa
- bitdefender.pl — Co to jest zero-day i jak chronić się przed takimi atakami?
Najczęściej zadawane pytania o exploity
Czym różni się exploit od wirusa?
Exploit to narzędzie, które używa luki w oprogramowaniu, by dostać się do systemu. Wirus to złośliwy program, który może zostać dostarczony za pomocą exploita (lub innymi metodami, np. phishingiem). Exploit to furtka — wirus to to, co przez nią wchodzi.
Co to znaczy, że exploit jest zero-day?
Zero-day oznacza, że luka atakowana przez exploit nie jest jeszcze znana producentowi oprogramowania. Producent ma „zero dni” na stworzenie łatki. Dopiero gdy wydaje aktualizację, podatność przestaje być zero-day i staje się podatnością n-day.
Czy zainstalowanie aktualizacji chroni przed exploitami?
Przed większością — tak. Większość exploitów używanych w masowych atakach uderza w znane podatności, na które łatki istnieją od miesięcy. Jedynie exploity zero-day atakują niezałatane luki. Regularne aktualizacje eliminują ogromną część zagrożeń.
Czy kupowanie exploitów jest legalne?
To zależy od jurysdykcji i celu. Legalne firmy (Zerodium, Crowdfense) skupują podatności od badaczy i sprzedają rządom do celów wywiadowczych — co może być legalne, lecz etycznie kontrowersyjne. Kupowanie exploitów na darknetowych forach lub używanie ich do nieautoryzowanych ataków jest przestępstwem.
Co to jest CVE?
CVE (Common Vulnerabilities and Exposures) to system identyfikacji podatności prowadzony przez MITRE Corporation. Każda publicznie znana podatność dostaje unikalny identyfikator w formacie CVE-ROK-NUMER (np. CVE-2021-44228 — luka Log4Shell). CVE bez exploita jest podatnością; CVE z dostępnym exploitem jest aktywnym zagrożeniem.
