0-day (англ. zero day) — термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.
Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё)[1]. В этой связи более верным был бы перевод «уязвимость нуля дней».
Обнаружение уязвимостей
Количество эксплуатируемых уязвимостей нулевого дня в 20-х годах растёт[2][3]. Это касается как рынка потребительских устройств, так и корпоративных структур, включая цепочки поставок. Интерес к уязвимостям нулевого дня обусловлен высокой эффективностью их использования, что, в свою очередь, связано с двумя фактами — высоким распространением уязвимого ПО (именно такое программное обеспечение, как правило, атакуют) и некоторым временным промежутком между обнаружением уязвимости компанией — разработчиком программного обеспечения и выпуском соответствующего обновления для исправления ошибки. Однако этот метод достаточно дорогостоящ и непредсказуем на долгой дистанции, поэтому для массовых атак более востребованы фишинг, социальная инженерия и известные уязвимости[4][5].
Для обнаружения уязвимостей вирусописатели используют различные техники, например:
- Дизассемблирование программного кода и последующий поиск ошибок непосредственно в коде программного обеспечения;
- Реверс-инжиниринг и последующий поиск ошибок в алгоритмах работы программного обеспечения;
- Fuzz-тестирование — своего рода стресс-тест для программного обеспечения, суть которого заключается в обработке программным обеспечением большого объёма информации, содержащей заведомо неверные параметры.
Создание вредоносного кода
После обнаружения уязвимости в программном обеспечении начинается процесс разработки вредоносного кода, использующего обнаруженную уязвимость для заражения отдельных компьютеров или компьютерных сетей.
По состоянию на 2017 год самой известной вредоносной программой, использующей 0day-уязвимость в программном обеспечении, является сетевой червь-вымогательWannaCry, который был обнаружен в мае 2017 года. WannaCry использовал эксплойтEternalBlue в уязвимости SMB (Server Message Block) на операционных системах семейства Windows. При удачной попытке внедриться в компьютер WannaCry устанавливает бэкдорDoublePulsar для дальнейших манипуляции и действий. Также, не менее известный червь Stuxnet использовал ранее не известную уязвимость операционных систем семейства Windows, связанную с алгоритмом обработки ярлыков. Помимо 0day-уязвимости, Stuxnet использовал ещё три ранее известные уязвимости.
Помимо создания вредоносных программ, использующих 0day-уязвимости в программном обеспечении, вирусописатели активно работают и над созданием вредоносных программ, не детектируемых антивирусными сканерами и мониторами. Данные вредоносные программы также попадают под определение термина 0day.
Отсутствие детектирования антивирусными программами достигается за счёт применения вирусописателями таких технологий, как обфускация, шифрование программного кода и др.
Защита
В связи с применением специальных технологий 0day-угрозы не могут быть обнаружены классическими антивирусными технологиями. Именно по этой причине продукты, в которых сделана ставка на классические антивирусные технологии, показывают весьма посредственный результат в динамических антивирусных тестированиях.
По мнению антивирусных компаний, для обеспечения эффективной защиты против 0day вредоносных программ и уязвимостей нужно использовать проактивные технологии антивирусной защиты. Благодаря специфике проактивных технологий защиты они способны одинаково эффективно обеспечивать защиту как от известных угроз, так и от 0day-угроз. Хотя эффективность проактивной защиты не является абсолютной, и весомая доля 0day-угроз способна причинить вред жертвам злоумышленников. Независимых подтверждений этим утверждениям на настоящий момент нет.
См. также
Примечания
- ↑Flash Vulnerabilities Causing Problems. Дата обращения: 17 августа 2016. Архивировано 17 августа 2016 года.
- ↑Trends on Zero-Days Exploited In-the-Wild in 2023 (амер. англ.). Google Cloud Blog. Дата обращения: 19 апреля 2026.
- ↑Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis (амер. англ.). Google Cloud Blog. Дата обращения: 19 апреля 2026.
- ↑Yaman Roumani. Identifying factors influencing the duration of zero-day vulnerabilities (англ.) // International Journal of Information Security. — 2025-05-20. — Vol. 24, iss. 3. — P. 133. — ISSN1615-5270. — doi:10.1007/s10207-025-01061-9.
- ↑Tiago Negrão De Andrade, Thiago Carvalho Silva, Maria Cristina Gobbi, Giovana Holouka. Zero-Day Vulnerabilities And The Clandestine Exploits Market: A Hermeneutic And Critical Approach. researchgate.net/ (2025). doi:10.9790/0837-3001071120.
Ссылки
- 0-Day Patch — Exposing Vendors (In)security Performance (англ.)
- 0day.today — 0day Exploit DataBase (англ.)
- Attackers seize on new zero-day in Word (англ.)
- Человеческий фактор: лекарство от социальной инженерии (рус.)
- Vulnerability database. US-CERT.
- Zero Day Tracker. research.eeye.com.
- Zero Day Vulnerability Tracking Project. www.zero-day.cz.
