Was ist ein Zero-Day-Exploit?
von Tina Siering
Zero-Day-Exploit – das ist die Definition
Seinen Namen verdankt diese Form des Exploits der nicht vorhandenen Vorwarnzeit für die Entwickler. Sie haben somit Null Tage (Zero Days), um einen Fix für eine Sicherheitslücke zu finden, die Kriminelle bereits ausnutzen. In dem Moment, in dem die Entwickler also über die Schwachstelle in ihrem System Kenntnis erhalten, laufen bereits Cyberangriffe über diese Lücke.
In vielen Fällen sind Cyberattacken auch der Weg, auf dem Entwickler solche Zero-Day-Lücken entdecken. Eine zweite Möglichkeit ist, dass sogenannte White-Hat-Hacker die Sicherheitslücke finden und den Entwickler direkt informieren. White-Hat-Hacker sind Personen, die aktiv nach Lücken in Software suchen, gefundene Schwachstellen jedoch nicht für kriminelle Aktivitäten nutzen, sondern diese den Entwicklern aktiv aufzeigen.
Die drei verschiedenen Zero-Day-Begriffe
Am Anfang steht die Zero-Day-Sicherheitslücke. Dabei handelt es sich um eine Schwachstelle in Soft- oder Hardware, die dem Hersteller nicht bekannt ist. Es steht somit auch kein Patch zur Verfügung, der die Lücke schließt. Dementsprechend sind alle Produkte betroffen, in denen die Komponente mit der Sicherheitslücke integriert ist.
Wird aus der Zero-Day-Sicherheitslücke ein Exploit, bedeutet dies, dass Hacker die Lücke entdeckt haben. Die Angreifer wissen, wie sie die Schwachstelle ausnutzen können und haben einen Angriffsvektor gefunden, um fremde Systeme zu kompromittieren. Ein konkreter Angriff wird dann als Zero-Day-Attacke bezeichnet.
Warum sind Zero-Day-Exploits so gefährlich?
Die Gefahr dieser Exploits beruht auf der Wehrlosigkeit der Ziele. Zum einen sind Attacken durch diesen speziellen Angriffsvektor unbekannt. Zum anderen sind alle Systeme anfällig, da es seitens des Entwicklers keinen Patch für die Sicherheitslücke gibt.
Dementsprechend beginnt mit der ersten Zero-Day-Attacke für die Entwickler ein Wettlauf gegen die Zeit. Es gilt, die Sicherheitslücke schnellstmöglich zu identifizieren, herauszufinden, wie die Angreifer das System überlisten und die Schwachstelle dann mit einem Patch zu schließen.
Außerdem geht von diesen Zero-Day-Sicherheitslücken noch eine andere Gefahr aus: Hackergruppen, die Kenntnis über eine solche Lücke haben und diese zu ihrem Vorteil ausnutzen, haben ein großes Interesse daran, diesen Angriffsvektor möglichst lange geheim zu halten. Selbst wenn eine erfolgreiche Cyberattacke entdeckt wird, ist auf den ersten Blick oft nicht klar, welchen Weg die Angreifer genommen haben. Es ist die Aufgabe der IT-Forensik, das Eingangstor und die konkrete Vorgehensweise der Angreifer aufzudecken. Im Rahmen solcher Nachforschungen kommt es vor, dass IT-Forensiker eine bisher unbekannte Lücke in einem System identifizieren.
Das große Gefahrenpotenzial dieser Sicherheitslücken wird dadurch multipliziert, dass alle Nutzer eines betroffenen Systems potenzielle Opfer sind. Bei bekannten Lücken, die durch den Entwickler über Patches geschlossen wurden, minimiert sich die potenzielle Opfergruppe sehr schnell. Alle IT-Verantwortlichen, die ihre Systeme aktuell halten und Sicherheitspatches umgehend aufspielen, sind vor solchen Angriffen sicher. Bei Zero-Day-Sicherheitslücken hingegen gibt es keinen Schutz durch Patches.
Selbst wenn die Zero-Day-Sicherheitslücke bereits durch den Entwickler öffentlich gemacht wurde, besteht so lange eine erhöhte Gefahr, bis ein Patch verfügbar ist. Setzen Unternehmen eine betroffene Soft- oder Hardware ein, sind die Optionen eingeschränkt. Eine Absicherung des anfälligen Systems ist meist nicht möglich, außer es steht ein Workaround bereit. Dann bleibt nur, das gefährdete System temporär abzuschalten. Handelt es sich dabei um eine geschäftskritische Plattform, stört dies den Betrieb des Unternehmens. Ein Weiterbetrieb birgt jedoch die Gefahr, dass jederzeit eine Cyberattacke starten kann.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Welche Angriffe sind über Zero-Day-Sicherheitslücken möglich?
Ein weiterer Faktor, der Zero-Day-Angriffe so gefährlich macht, ist das breite Spektrum der möglichen Cyberattacken. Grundsätzlich lässt sich nicht vorhersagen, welche Angriffstechniken und Konsequenzen drohen. Dies hängt damit zusammen, dass Zero-Day-Lücken ganz unterschiedlich sind. Teilweise befinden sich die Lücken in kritischen Bereichen der Netzwerkinfrastruktur oder es sind nur ganz bestimmte Programmkomponenten betroffen. Dementsprechend ist es möglich, dass eine Zero-Day-Sicherheitslücke den Zugriff auf bestimmte Daten in einem geschlossenen System wie einer Datenbank erlaubt.
Es ist ebenso gut möglich, dass über eine Zero-Day-Attacke die Hacker die Kontrolle über das Netzwerk übernehmen oder eine beliebige Schadsoftware ausbringen. Somit gehören auch Attacken mit Ransomware inklusive der Verschlüsselung von Daten im Netzwerk und einer Erpressung zu den wahrscheinlichen Szenarien. Auf den ersten Blick vollkommen unauffällig, aber ebenso gefährlich sind Zero-Day-Lücken, die Kriminelle für die Spionage ausnutzen. Eventuell haben die Angreifer dann unbemerkt Zugriff auf interne Daten. Dieser Zustand hat in der Praxis schon Wochen oder sogar Monate angehalten.
Wer nutzt Zero-Day-Sicherheitslücken für Cyberangriffe?
Auch diese Frage lässt sich nicht pauschal beantworten. Hier ist das gesamte Spektrum von gewöhnlichen Kriminellen, Akteuren mit wirtschaftlichen Interessen bis hin zu staatlichen Institutionen vertreten.
Außerdem gibt es im Darknet Handelsplätze für solche Sicherheitslücken. Hier treffen versierte Hacker auf finanzkräftige Einkäufer, die unterschiedlichste Ziele haben. Die Hacker verdienen enorme Summen und verfügen über großes Fertigkeit im Auffinden solcher Lücken. Auch Geheimdienste und das Militär kaufen Informationen über solche Zero-Day-Sicherheitslücken ein, um sich auf diesem Weg auf einen Cyberwar vorzubereiten oder Netzwerke aktiv zu infiltrieren.
Dementsprechend unterschiedlich setzten die Angreifer die Werkzeuge für die Zero-Day-Attacken ein. Zero-Day-Angriffe kommen beispielsweise im Rahmen der Spionage zum Einsatz. Auf diesem Weg stehlen Angreifer interne Informationen von Unternehmen und anderen Organisationen, oft auch unbemerkt über einen längeren Zeitraum hinweg. Staaten infiltrieren Netzwerke anderer Länder und spionieren oder legen Zugriffe, die im Falle eines Cyberwar für den Start von umfassenden Angriffen dienen. Die klassischen Cyberkriminellen versuchen hingegen primär, die Kontrolle über Netzwerke zu erhalten oder bringen Schadsoftware wie Ransomware in den gehackten Systemen aus.
Beispiele für Zero-Day-Angriffe
Zero-Day-Schwachstellen sind leider keine Seltenheit. In den letzten Jahren kam es immer wieder zu solchen Vorfällen. Betroffen sind auch die Riesen der IT-Branche, was zeigt, dass solche Lücken potenziell in jedem System zu finden sind.
Anfang 2021 wurden beispielsweise eine Zero-Day-Lücke im Browser Chrome identifiziert. Am 24. Januar wurde die Lücke öffentlich bekannt. Es dauerte bis zum 4. Februar, bis die Entwickler den Browser aktualisierten und so die Sicherheitslücke schlossen.
Bekanntheit erlangte die Log4Shell-Schwachstelle, die im Dezember 2021 entdeckt wurde. Diese hat besondere Brisanz, denn betroffen sind alle Versionen seit dem Jahr 2013 und Log4Shell ist Bestandteil zahlreicher Systeme. Da teilweise sehr alte Hard- und Software die Schwachstelle besitzen, ist es unwahrscheinlich, dass Updates für alle Systeme erscheinen. Die Zero-Day-Schwachstelle bleibt in diesen betroffenen Plattformen also aktiv.
Welche Abwehrmaßnahmen gibt es gegen Zero-Day-Exploits?
Zum Glück sind Unternehmen und IT-Verantwortliche von Netzwerken nicht ganz schutzlos gegenüber Zero-Day-Angriffen. Einerseits gibt es keine offiziellen Patches, die vor solchen Zero-Day-Lücken schützen. Auch Antivirensoftware und ähnliche Programme bieten keinen Schutz vor den eigentlichen Attacken, denn die Angriffsmuster sind unbekannt. Andererseits hat die moderne IT-Sicherheitstechnik einige Tools in der Hinterhand, mit denen sich Zero-Day-Attacken erkennen lassen.
Ein wichtiges Abwehrmittel gegen solche Attacken aus unbekannten Richtungen und unvorhersehbaren Vektoren sind Systeme für die Angriffsfrüherkennung. Inzwischen sind solche Lösungen zu einem wichtigen Bestandteil der IT-Sicherheit geworden. Die Angriffsfrüherkennung basiert auf Software, die aktiv und in Echtzeit alle Aktivitäten im Netzwerk überwacht. Dazu gehören Logins von Nutzern, die IP-Adressen von Verbindungen, Datentransfers und viele weitere Aktionen. Die Software greift auf Log-Daten zurück, wie sie Datenbanken, Router und andere Systeme aufzeichnen. Mithilfe von Künstlicher Intelligenz lernen diese Programme, welche Aktivitäten in einem Netzwerk normal sind. Sie erkennen dann ungewöhnliche Zugriffe, die nicht zu den normalen Zugriffen passen. An diesem Punkt zeigt die Angriffsfrüherkennung ihre Stärke gegenüber Zero-Day-Angriffen.
Der Active Cyber Defense Service (ACD) von secion ist eine solche Dienstleistungslösung. secion stellt diesen Service über das Netzwerk bereit. Eine lokale Installation oder Veränderungen an den Systemen sind somit nicht notwendig. Der ACD Service von secion kontrolliert alle Systeme innerhalb eines Netzwerks, von Datenbanken über Dienste für die Authentifizierung bis hin zu IoT-Geräten am Rande des Netzwerks und meldet identifizierte Anomalien. Das secion Analystenteam informiert bei Bedarf unverzüglich die zuständigen Personen in der IT-Security des betreffenden Unternehmens. Auf diese Weise ist eine Aufdeckung von Angriffen nahezu in Echtzeit möglich, bevor Schaden entsteht - und ohne dass enorme Investitionen in der eigenen IT-Abteilung notwendig sind.
Weiterhin gibt es einige organisatorische Maßnahmen, mit denen Unternehmen und IT-Verantwortliche auf die Bedrohungen durch Zero-Day-Attacken reagieren. Dazu gehören verschiedene Maßnahmen, die sowieso zu einer umfassenden IT-Sicherheitsstrategie gehören. In erster Linie ist dies ein System für ein Backup. Die Sicherheitskopie muss außerdem aktuell sein, was es erfordert, regelmäßig Backups anzufertigen. Zudem ist es wichtig, mindestens zwei voneinander getrennte Backup-Systeme zu besitzen. Mit einem vollständigen Backup lassen sich die Systeme nach einem Angriff mit Ransomware und einer Verschlüsselung der Daten wiederherstellen.
Die zweite Maßnahme ist, das Netzwerk so zu strukturieren, dass Cyberangriffe nur lokale Auswirkungen haben. Gerade gegen eine Zero-Day-Attacke ist dies eine gute Abwehrtechnik. Eine Zero-Day-Schwachstelle befindet sich in einem bestimmten System, also beispielsweise einer Software. Wird diese in einem isolierten Bereich betrieben, ist auch das Ausmaß einer Attacke limitiert. Geeignet für solche Maßnahmen sind unter anderem virtuelle Server, Container und eine rollenbasierte Zugriffskontrolle.
Fazit zu Zero-Day-Exploits
Schwachstellen in Software sind eine der größten Herausforderungen für die IT-Sicherheit. Noch eine Stufe gefährlicher sind Zero-Day-Lücken. Selbst mit einer perfekten Update-Routine und einer optimal geschulten Belegschaft ist es für IT-Verantwortliche unmöglich, Zero-Day-Angriffe zu antizipieren und somit zu verhindern. Aus diesem Grund sind zusätzliche Mechanismen notwendig, um im Falle einer solchen Attacke schnellstmöglich zu handeln und Schlimmeres zu verhindern. Dies erfordert aktive Maßnahmen wie ein System für die Angriffsfrüherkennung und eine entsprechende Strukturierung des Netzwerks. Mit diesen Methoden lässt sich die Bedrohung, die von Zero-Day-Angriffen ausgeht, deutlich minimieren.