Definition

Als Zero-Day-Exploit wird das Ausnutzen von Sicherheitslücken bezeichnet, die bisher noch nicht öffentlich bekannt waren. Üblicherweise testet ein Angreifer ein System so lange, bis er eine Zero-Day-Lücke findet. Wenn diese bisher noch nie gemeldet wurde, handelt es sich um einen „Zero Day“, weil die Entwickler der betroffenen Anwendung „null Tage“ zur Behebung des Problems gehabt haben. Eine solche Sicherheitslücke auszunutzen, ist ein Zero-Day-Exploit oder auch Zero-Day-Attack. Dies führt meist zu einer Kompromittierung des betroffenen Systems. Zero-Day-Lücken bleiben manchmal jahrelang offen, bevor sie gemeldet werden. Diejenigen, die sie identifiziert haben, verkaufen ihre Exploits häufig auf Darknet-Marktplätzen.

Wie ein Zero-Day-Exploit funktioniert

Welche Art von Exploit zum Einsatz kommt, hängt von der Art der Sicherheitslücke ab. Ein Angriff kann mehrere Sicherheitslücken ausnutzen, um einen einzigen Zero Day effektiv einzusetzen. Beispielsweise kann ein Man-in-the-Middle-Angriff genutzt werden, um Daten abzufangen und zusätzlich einen Cross-Site-Scripting-Angriff (XSS-Angriff) durchzuführen.

Der Arbeitsprozess für einen Zero Day beginnt, sobald ein Angreifer die Sicherheitslücke entdeckt hat. Die Schwachstelle könnte in Hardware, Firmware, Software oder jedem anderen Unternehmensnetzwerk liegen. Die folgenden Schritte beschreiben einen gewöhnlichen Zero-Day-Vorgang:

  1. Entwickler veröffentlichen eine Anwendung oder ein Update für eine Anwendung, das eine bisher noch nicht bekannte Sicherheitslücke enthält.
  2. Ein Angreifer scannt die Software und findet die Sicherheitslücke, oder ein Angreifer findet eine Schwachstelle im Code, nachdem er diesen von einem Repository heruntergeladen hat.
  3. Der Angreifer nutzt Werkzeuge und Ressourcen, um die Schwachstelle auszunutzen. Das kann benutzerdefinierter Code sein, den der Angreifer schreibt, oder bestehende Tools.
  4. Die Sicherheitslücke wird mitunter jahrelang genutzt, bevor sie erkannt wird, aber letztendlich stoßen Forscher, die Öffentlichkeit oder IT-Experten auf Hacker-Aktivitäten und melden die Schwachstelle an die Entwickler.

Der Name Zero-Day bezeichnet die Zeit, die Entwickler haben, um eine Sicherheitslücke zu schließen. Zum Zeitpunkt, als der Angreifer die Lücke entdeckt, hatten die Entwickler null Tage Zeit, sie zu beheben. Sobald ein Patch zur Verfügung steht, gilt die Lücke nicht mehr als Zero Day. Jedoch kann die Sicherheitslücke immer noch weiter bestehen, nachdem die Entwicker ein Patch veröffentlicht haben, denn nicht immer installieren Admins und Nutzer die neuesten Updates, sodass das System weiterhin Lücken aufweist. Solche Systeme sind der häufigste Grund für kritische Datenverletzungen. Der Equifax-Hack, bei dem Hacker hunderte Millionen Datensätze stehlen konnten, wurde beispielsweise von einem öffentlich zugänglichen Server verursacht, auf dem die neuesten Patches nicht installiert waren.

Einen Exploit erkennen

Entwickler denken nicht wie Hacker, sodass es nicht unüblich ist, dass in einer komplexen Anwendung mindestens eine Sicherheitslücke enthalten ist. Angreifer scannen Software mitunter wochenlang und prüfen den Code auf der Suche nach einem Fehler. Angreifer, die aus der Ferne agieren, nutzen zahlreiche Werkzeuge, um Sicherheitslücken in Cloud-Software aufzuspüren. Organisationen können jedoch Schritte unternehmen, um auffälliges Verhalten zu erkennen und Zero-Day-Exploits zu stoppen.

Einige Strategien, die einer Organisation zur Verfügung stehen, um verdächtige Aktivitäten zu erkennen und Zero-Day-Attacks zu verhindern, sind:

  • Monitoring auf statistischer Ebene: Anti-Malware-Anbieter veröffentlichen Statistiken über bisher entdeckte Exploits. Diese Datenpunkte können in ein Machine-Learning-System eingespeist werden, um aktuell laufende Angriffe zu erkennen. Diese Art des Aufspürens von Angriffen ist begrenzt wirksam gegen ausgefeiltere Bedrohungen, sodass es falsche Positiv- und falsche Negativ-Meldungen geben kann.
  • Signaturen: Jeder Exploit hat eine eigene digitale Signatur. Diese digitalen Signaturen können ebenfalls in Künstliche-Intelligenz-Systeme und Machine-Learning-Algorithmen einfließen, um Varianten früherer Angriffe zu erkennen.
  • Verhaltensbasiertes Monitoring: Malware nutzt spezielle Prozesse, um ein System zu scannen, und verhaltensbasiertes Monitoring schlägt Alarm, wenn es solchen verdächtigen Traffic in einem Netzwerk erkennt. Statt Signaturen oder Aktivitäten im Arbeitsspeicher zu analysieren, identifiziert verhaltensbasiertes Monitoring Malware anhand ihres Verhaltens in der Interaktion mit Geräten.
  • Hybride Erkennung verdächtiger Aktivitäten: Ein hybrider Ansatz nutzt eine Kombination der oben genannten Methoden, um die Effizienz beim Auffinden von Malware zu erhöhen.

Warum sind Zero-Day Exploits gefährlich?

Da Zero-Day-Exploits unbekannt sind, bleiben potentielle Schwachstellen üblicherweise unentdeckt. Dadurch können schädliche Routinen wie Code-Ausführung aus der Ferne, Ransomware, Stehlen von Zugangsdaten, Denial-of-Service-Angriffe (DoS-Angriffe) oder eine Vielzahl anderer Möglichkeiten in ein System eingeschleust werden. Diese heimtückische Seite von Zero-Day-Lücken kann eine Kompromittierung von Organisationen verursachen, Monate bevor sie entdeckt und eingedämmt wird.

Mit einer unbekannten Schwachstelle im System kann eine Organisation Opfer eines Advanced Persistent Threats (APT) werden. APTs sind besonders gefährlich, weil diese Angreifer Hintertüren im Code hinterlassen, und sich mithilfe komplexer Malware durch das Netzwerk bewegen. Es kommt durchaus vor, dass Organisationen denken, sie hätten die Bedrohung gebannt, aber in Wirklichkeit befindet sich der APT weiterhin im Netzwerk, bis eine umfassende Analyse des Vorfalls inklusive der notwendigen Maßnahmen und forensischer Untersuchungen abgeschlossen ist.

Sicherheitslücken gehen nicht immer von falschen Konfigurationen oder Schwachstellen auf dem Unternehmensnetzwerk aus. Firmen, die es ihren Mitarbeitern erlauben, ihre eigenen Geräte mitzubringen, erhöhen das Risiko für ihre Systeme. Sollte eines der Nutzergeräte kompromittiert sein, kann das eine Infektion des gesamten Unternehmensnetzwerks verursachen.

Je länger eine Sicherheitslücke unentdeckt bleibt, desto länger kann ein Angreifer sie ausnutzen. Unbekannte Zero-Day-Lücken ermöglichen es einem Angreifer, potentiell Gigabytes an Daten zu exfiltrieren. Normalerweise werden Daten langsam exfiltiert, um ein Auffliegen zu vermeiden, wodurch die Kompromittierung der Organisation erst nach dem Verlust von Millionen an Datensätzen auffällt.

Zero-Day-Exploits verhindern

Organisationen und Individuen stehen mehrere Möglichkeiten zur Verfügung, wie sie Zero-Day-Angriffe verhindern und sich von einem erfolgreichen Angriff erholen können. Sowohl Organisationen als auch Individuen müssen ihre Anti-Malware-Verteidigung proaktiv angehen. Die Verteidungsmechanismen sollten eine Kombination an Strategien und Standard-Cybersicherheitstechniken enthalten, die dazu geeignet sind, Angreifer zu stoppen und Benachrichtigungen über mögliche Sicherheitslücken zu senden.

Einige Cybersicherheitstechniken zur Verteidigung gegen Zero-Day-Exploits sind:

  • Antiviren-Anwendungen: Ob es sich um ein mobiles oder ein Desktop-Gerät handelt, es sollte immer Antivirensoftware installiert sein. Fortgeschrittene Antivirenprogramme arbeiten mit Künstlicher Intelligenz, um Muster in Malware-Verhalten zu erkennen, sodass Bedrohungen frühzeitig entdeckt werden (im Gegensatz zu traditioneller Antivirensoftware, die lediglich digitale Signaturen analysiert).
  • Firewalls: Eine Firewall verhindert Port-Scans und blockiert den Zugriff auf verschiedene Services auf einem Desktop-Computer oder einem Netzwerk. Sie können dazu dienen, unautorisierten Traffic und Netzwerkzugriffe herauszufiltern.
  • Monitoring-Anwendungen: Monitoring-Systeme sind für private Netzwerke zuhause unüblich, aber für Unternehmen sind sie essentiell. Monitoring-Software erkennt ungewöhnliche Traffic-Aktivititäten, Anfragen für Dateifreigaben (sowohl erfolgreiche als auch abgelehnte), Datenbankabfragen, Änderungen der Betriebssystem-Einstellungen und viele andere Methoden von Angreifern.
  • Regelmäßige Überprüfungen der Systemeinstellungen: Fehlerhafte Einstellungen führen zu offenen Sicherheitslücken. Überprüfen sie deshalb die Systemeinstellungen, um sicherzustellen, dass sie Angreifer (dazu gehören auch interne Bedrohungsakteure) aussperren.
  • Klären Sie Ihre Nutzer über die Gefahren von Phishing auf: Indem Sie Ihren Nutzern die Werkzeuge an die Hand geben, um Phishing zu erkennen und zu melden, reduziert die Gefahr erfolgreicher Phishing- und Social-Engineering-Angriffe signifikant.

Sollte eine Organisation eine erfolgreiche Kompromittierung erleiden, sind eine schnelle Reaktion auf den Vorfall und eine Untersuchung die nächsten Schritte. Die Reaktionszeit ist besonders entscheidend, um die Bedrohung möglichst schnell zu isolieren und von dem System zu entfernen. Eine umfassende Untersuchung kann erforderlich sein, um Sicherheitslücken zu identifizieren und Hintertüren zu schließen, die der Angreifer möglicherweise zurückgelassen hat. Digitale Forensik kann dabei helfen, den Angreifer zu identifizieren, was im Nachgang eines Angriffs wichtig ist, insbesondere dann, wenn es sich dabei um einen Insider handelt.

Proofpoints Threat Response Lösungen

Threat Response von Proofpoint ermöglicht eine schnelle, automatisierte Reaktion auf Online-Bedrohungen. Sichern Sie jetzt Ihre IT!

Ransomware-Leitfaden

In unserem Ransomware-Leitfaden 2022 erfahren Sie, was Sie vor, während und nach einem Ransomware-Angriff tun können.

Schutz vor Ransomware mit Targeted Attack Protection

Schutz vor Malware und anderen gezielten Online-Angriffen auf Ihr Unternehmen (targeted attack protection) mit E-Mail-Sicherheit von Proofpoint.