Was ist ein Zero-Day-Exploit?

Ein Zero Day (auch manchmal „0day“ genannt) ist eine Sicherheitslücke, die den Entwicklern der betroffenen Anwendung noch nicht gemeldet wurde, sodass sie „null Tage Zeit“ hatten, sie zu beheben – daher der Name. Ein Zero-Day-Exploit ist demnach das Ausnutzen einer solchen Sicherheitslücke. Üblicherweise testet ein Angreifer ein System so lange, bis er eine Zero-Day-Lücke findet. Ein Zero-Day-Angriff ist, wenn im Zuge eines Zero-Day-Exploits das betroffene System kompromittiert wird. Eine Zero-Day-Vulnerability bleibt manchmal jahrelang offen, bevor sie gemeldet wird. Diejenigen, die sie identifiziert haben, verkaufen ihre Exploits häufig auf Darknet-Marktplätzen.

Wie ein Zero-Day-Exploit genau funktioniert hängt von der Art der Sicherheitslücke ab. Ein einzelner Angriff kann auch mehrere Sicherheitslücken gleichzeitig ausnutzen, um einen einzigen Zero Day so effektiv wie möglich einzusetzen. Beispielsweise kann ein Man-in-the-Middle-Angriff genutzt werden, um Daten abzufangen und zusätzlich einen Cross-Site-Scripting-Angriff (XSS-Angriff) durchzuführen.

Der Arbeitsprozess für einen Zero Day beginnt, sobald ein Angreifer die Sicherheitslücke entdeckt hat. Die Schwachstelle kann in Hardware, Firmware, Software oder jedem anderen Unternehmensnetzwerk liegen. Die folgenden Schritte beschreiben einen gewöhnlichen Zero-Day-Vorgang:

1. Entwickler veröffentlichen eine Anwendung oder ein Update für eine Anwendung, das eine bisher noch nicht bekannte Sicherheitslücke enthält.
2. Ein Angreifer scannt die Software und so findet die Sicherheitslücke, oder er lädt den Code von einem Repository herunter und findet dann eine Schwachstelle im Code.
3. Der Angreifer nutzt Werkzeuge und Ressourcen, um die Schwachstelle auszunutzen. Das kann benutzerdefinierter Code sein, den der Angreifer schreibt, oder bestehende Tools.
4. Die Sicherheitslücke wird mitunter jahrelang genutzt, bevor sie erkannt wird, aber letztendlich stoßen Forscher, die Öffentlichkeit oder IT-Experten auf Hacker-Aktivitäten und melden die Schwachstelle an die Entwickler.

Der Name Zero-Day bezeichnet die Zeit, die Entwickler haben, um eine Sicherheitslücke zu schließen. Zum Zeitpunkt, als der Angreifer die Lücke entdeckt, hatten die Entwickler null Tage Zeit, sie zu beheben. Sobald ein Patch zur Verfügung steht, gilt die Lücke nicht mehr als Zero Day. Jedoch kann die Sicherheitslücke immer noch weiter bestehen, nachdem die Entwicker ein Patch veröffentlicht haben, denn nicht immer installieren Admins und Nutzer die neuesten Updates, sodass das System weiterhin Lücken aufweist. Solche Systeme sind der häufigste Grund für kritische Datenverletzungen. Der Equifax-Hack, bei dem Hacker hunderte Millionen Datensätze stehlen konnten, wurde beispielsweise von einem öffentlich zugänglichen Server verursacht, auf dem die neuesten Patches nicht installiert waren.

Da Zero-Day-Exploits unbekannt sind, kann es vorkommen, dass potenzielle Schwachstellen längere Zeit unentdeckt bleiben. Dadurch können schädliche Routinen wie Code-Ausführung aus der Ferne, Ransomware, Stehlen von Zugangsdaten, Denial-of-Service-Angriffe (DoS-Angriffe) oder eine Vielzahl anderer Möglichkeiten in ein System eingeschleust werden. Diese heimtückische Seite von Zero-Day-Lücken kann eine Kompromittierung von Organisationen verursachen, und zwar Monate, bevor sie entdeckt und eingedämmt wird.

Mit einer unbekannten Schwachstelle im System kann eine Organisation Opfer eines Advanced Persistent Threats (APT) werden. APTs sind besonders gefährlich, weil diese Angreifer Hintertüren im Code hinterlassen, und sich mithilfe komplexer Malware durch das Netzwerk bewegen. Es kommt vor, dass Organisationen denken, sie hätten die Bedrohung gebannt, aber in Wirklichkeit befindet sich der APT weiterhin im Netzwerk, bis eine umfassende Analyse des Vorfalls inklusive der notwendigen Maßnahmen und forensischer Untersuchungen abgeschlossen ist.

Sicherheitslücken gehen nicht immer von falschen Konfigurationen oder Schwachstellen auf dem Unternehmensnetzwerk aus. Firmen, die es ihren Mitarbeitern erlauben, ihre eigenen Geräte mitzubringen, erhöhen das Risiko für ihre Systeme. Sollte eines der Nutzergeräte kompromittiert sein, kann das eine Infektion des gesamten Unternehmensnetzwerks verursachen.

Je länger eine Sicherheitslücke unentdeckt bleibt, desto länger kann ein Angreifer sie ausnutzen. Unbekannte Zero-Day-Lücken ermöglichen es einem Angreifer, potenziell Gigabytes an Daten zu exfiltrieren. Normalerweise werden Daten langsam exfiltiert, um ein Auffliegen zu vermeiden, wodurch die Kompromittierung der Organisation erst nach dem Verlust von Millionen an Datensätzen auffällt.

Organisationen und Individuen stehen mehrere Möglichkeiten zur Verfügung, wie sie Zero-Day-Angriffe verhindern und sich von einem erfolgreichen Angriff erholen können. Sowohl Organisationen als auch Individuen müssen ihre Anti-Malware-Verteidigung proaktiv angehen. Die Verteidigungsmechanismen sollten eine Kombination aus Strategien und Standard-Cybersicherheitstechniken enthalten, die dazu geeignet sind, Angreifer zu stoppen und Benachrichtigungen über mögliche Sicherheitslücken zu senden.

Einige Cybersicherheitstechniken zur Verteidigung gegen Zero-Day-Exploits sind:

• Antiviren-Anwendungen: Ob es sich um ein mobiles oder ein Desktop-Gerät handelt, es sollte immer Antivirensoftware installiert sein. Fortgeschrittene Antivirenprogramme arbeiten mit Künstlicher Intelligenz, um Muster in Malware-Verhalten zu erkennen, im Gegensatz zu traditioneller Antivirensoftware, die lediglich digitale Signaturen analysiert. So können Bedrohungen frühzeitig entdeckt werden.
• Firewalls: Eine Firewall verhindert Port-Scans und blockiert den Zugriff auf verschiedene Services eines Desktop-Computers oder Netzwerks. Sie können dazu dienen, unautorisierten Traffic und Netzwerkzugriffe herauszufiltern.
• Monitoring-Anwendungen: Monitoring-Systeme sind für private Netzwerke zuhause unüblich, aber für Unternehmen sind sie essenziell. Monitoring-Software erkennt ungewöhnliche Traffic-Aktivitäten, Freigabeanfragen für Dateien (sowohl erfolgreiche als auch abgelehnte), Datenbankabfragen, Änderungen der Betriebssystem-Einstellungen und viele andere Angriffsmethoden.
• Regelmäßige Überprüfungen der Systemeinstellungen: Fehlerhafte Einstellungen führen zu offenen Sicherheitslücken. Überprüfen sie deshalb die Systemeinstellungen, um sicherzustellen, dass diese Angreifer (dazu gehören auch interne Bedrohungsakteure) aussperren.
• Klären Sie Ihre Nutzer über die Gefahren von Phishing auf: Indem Sie Ihren Nutzern die Werkzeuge an die Hand geben, um Phishing zu erkennen und eine Phishing-Mail zu melden, reduzieren Sie die Gefahr erfolgreicher Phishing- und Social-Engineering-Angriffe signifikant.

Sollte eine Organisation eine erfolgreiche Kompromittierung erleiden, sind eine schnelle Reaktion auf den Vorfall und eine Untersuchung des Ablaufs gefragt. Die Reaktionszeit ist besonders entscheidend, um die Bedrohung möglichst schnell zu isolieren und aus dem System zu entfernen. Eine umfassende Untersuchung kann erforderlich sein, um Sicherheitslücken zu identifizieren und Hintertüren zu schließen, die der Angreifer möglicherweise zurückgelassen hat. Digitale Forensik kann dabei helfen, den Angreifer zu identifizieren, was im Nachgang eines Angriffs wichtig ist – insbesondere dann, wenn es sich dabei um einen Insider handelt.