Was ist ein Zero-Day ?

Veröffentlicht am 19. Juli 2023 27,61 Minuten zu lesen 5052 Worte

Ein Zero-Day (0-Day) ist eine ungepatchte Sicherheitslücke, die den Entwicklern von Software, Hardware oder Firmware unbekannt ist. „Zero-Day“ sagt aus, dass die betroffenen Parteien null Tage Zeit haben, um sich auf den Angriff vorzubereiten oder ihn abzuwehren, da sie noch keine Kenntnis von der Schwachstelle haben. Zero-Day-Exploits werden oft auf dem Schwarzmarkt gehandelt oder von kriminellen Hackern verwendet, um die Sicherheitslücke auszunutzen.

Im Allgemeinen bezieht sich der Begriff Zero-Day auf zwei Dinge:

  1. Zero-Day-Sicherheitslücken: Eine Sicherheitslücke, z. B. in einem Betriebssystem, die dem Entwickler und der Antivirensoftware unbekannt ist.
  2. Zero-Day-Exploits: Ein Cyber-Angriff, der eine Zero-Day-Schwachstelle ausnutzt. Zero-Day-Exploits können dazu verwendet werden, verschiedene Arten von Malware zu installieren, sensible Daten oder Kreditkartennummern zu stehlen und Datenverletzungen zu verursachen.

Der Name Zero-Day leitet sich von der Anzahl der Tage ab, seit denen es einen Patch für die Schwachstelle gibt: Null.

Was sind die Risiken von Zero-Day-Schwachstellen?

Zero-Day-Bedrohungen stellen ein erhebliches Risiko für die Cybersicherheit dar, da sie demjenigen, der für die Behebung der Schwachstelle verantwortlich ist, unbekannt sind und möglicherweise bereits ausgenutzt werden.

BlueKeep (CVE-2019-0708) beispielsweise ist eine Sicherheitslücke für die Ausführung von Remotecode, die etwa eine Million Systeme (Stand: 29. Mai 2019) mit älteren Versionen von Microsoft-Betriebssystemen betrifft.

Diese Zero-Day-Schwachstelle machte während des Patch Tuesday von Microsoft im Mai 2019 Schlagzeilen, da sie wurmfähig ist.

Das bedeutet, dass sich erfolgreiche Cyberangriffe, die BlueKeep nutzen, auf ähnliche Weise ausbreiten können wie der EternalBlue-Exploit von WannaCry.

Microsoft sah BlueKeep als eine so große Cyber-Bedrohung für die Informations- und Cybersicherheit an, dass sie Patches für nicht mehr unterstützte und nicht mehr verfügbare Betriebssysteme veröffentlichten.

BlueKeep kann mit Tools wie Masscan und Zmap, die große Teile des Internets scannen, innerhalb von Minuten entdeckt werden, so dass es für Angreifer trivial ist, verwundbare Systeme zu finden.

Was macht eine Sicherheitslücke zu einer Zero-Day-Sicherheitslücke?

Normalerweise finden security-researchers potenzielle Schwachstellen in Softwareprogrammen, benachrichtigen das Softwareunternehmen, um das Sicherheitsrisiko zu beheben, und geben es nach einer gewissen Zeit über CVE öffentlich bekannt.

Googles Project Zero beispielsweise gibt Anbietern bis zu 90 Tage Zeit, um eine Sicherheitslücke zu schließen, bevor sie sie veröffentlichen. Für als kritisch eingestufte Schwachstellen wird eine Frist von sieben Tagen eingeräumt, und aktiv ausgenutzte Schwachstellen können sofort öffentlich bekannt gegeben werden.

Der Grund dafür ist, dass die meisten Unternehmen in der Lage sind, die Schwachstelle zu beheben und ein Software-Update (Patch) zu verteilen, um sie zu beheben.

Und im Allgemeinen funktioniert das auch. Potenzielle Angreifer brauchen Zeit, um herauszufinden, wie sie die Sicherheitslücke am besten ausnutzen können.

Es gibt jedoch Situationen, in denen sich der Entdecker dafür entscheidet, den Softwarehersteller und die Anbieter von Antivirenprogrammen nicht zu benachrichtigen.

Zero-Day-Schwachstellen und Exploit-Codes sind äußerst wertvoll, nicht nur für Cyberkriminelle, sondern auch für staatliche Akteure, die sie für Cyberangriffe auf feindliche Staaten nutzen können.

Was sind gängige Zero-Day-Angriffsvektoren?

Welcher Angriffsvektor bei einem Zero-Day-Angriff verwendet wird, hängt von der Art der Zero-Day-Schwachstelle ab.

Wenn Benutzer betrügerische Websites besuchen, kann bösartiger Code auf der Website manchmal Zero-Day-Schwachstellen in Webbrowsern wie Internet Explorer oder Chrome ausnutzen.

Ein weiterer gängiger Angriffsvektor zur Ausnutzung von Zero-Day-Schwachstellen sind E-Mails. Cyberkriminelle nutzen E-Mail-Spoofing, Phishing oder Spear-Phishing, um Angriffe zu starten, die vom Opfer geöffnet werden müssen, um die bösartige Nutzlast auszuführen.

Die Gefahr von Zero-Day-Angriffen besteht darin, dass ihr Angriffsvektor unbekannt ist und in der Regel von Bedrohungsdaten und Sicherheitssoftware unentdeckt bleibt.

Wer sind die typischen Ziele von Zero-Day-Angriffen?

  • Regierungsbehörden
  • Große Unternehmen
  • Einzelpersonen mit Zugang zu wertvollen Geschäftsdaten oder geistigem Eigentum
  • Gruppen von Einzelpersonen mit anfälligen Systemen wie einem veralteten Android- oder Linux-Gerät
  • Hardware-Geräte und deren Firmware
  • Internet der Dinge (IoT)
  • Feinde des Staates

Was sind Beispiele für Zero-Day-Angriffe?

WannaCry: Ein Ransomware-Computerwurm, der EternalBlue ausnutzte, eine Software-Schwachstelle in älteren Versionen von Microsoft Windows, die eine veraltete Version des Server Message Block (SMB)-Protokolls verwendeten. Sicherheitsforscher der National Security Agency (NSA) entdeckten die Sicherheitslücke bereits Monate vor Wannacry, gaben sie aber nicht an die Öffentlichkeit weiter. EternalBlue wurde von Cyberkriminellen gestohlen und für die Entwicklung von WannaCry verwendet, das sich auf Hunderttausende von Computern ausbreiten konnte, bevor Microsoft einen Sicherheits-Patch herausgeben konnte, um die Sicherheitslücke zu schließen.

Stuxnet: Ein bösartiger Computerwurm, der erstmals 2010 entdeckt wurde und sich vermutlich seit mindestens 2005 in der Entwicklung befand. Stuxnet zielte auf SCADA-Systeme in der iranischen Urananreicherungsanlage in Natanz ab und nutzte fünf Zero-Day-Schwachstellen, um sich zu verbreiten und die Zugangskontrolle zu den Systemen zu umgehen. Obwohl eine dieser Schwachstellen vor dem Angriff von Microsoft gepatcht worden war, waren die Rechner nicht auf dem neuesten Stand gehalten worden.

RSA: Im Jahr 2011 nutzten Angreifer eine ungepatchte Sicherheitslücke in Adobe Flash Player, um in die Netzwerksicherheit des Sicherheitsunternehmens RSA einzudringen. Die Angreifer nutzten Phishing und E-Mail-Spoofing, um infizierte Excel-Tabellen an kleine Gruppen von RSA-Mitarbeitern zu verteilen. Die Excel-Dateien enthielten eine eingebettete Flash-Datei, die die Zero-Day-Schwachstelle ausnutzte und das Remote Administration Tool (RAT) Poison Ivy installierte. Sobald sie sich Zugang verschafft hatten, suchten die Angreifer nach sensiblen Daten und übermittelten sie an ihre Server.

Operation Aurora: Im Jahr 2009 verschafften sich vermutlich chinesische Angreifer unbefugten Zugang zu Dutzenden amerikanischer Unternehmen, darunter Google, Adobe, Juniper Networks und Rackspace, indem sie eine Zero-Day-Schwachstelle in mehreren Versionen des Internet Explorer ausnutzten.

Sony Pictures: Sony Pictures wurde Ende 2014 Opfer eines Zero-Day-Malware-Angriffs. Die Angreifer nutzten eine Schwachstelle im Server Message Block (SMB) aus, die zu einem massiven Datenverlust wertvoller Unternehmensdaten führte, die zur Unternehmensspionage genutzt werden konnten, darunter bevorstehende Filme, Geschäftspläne und persönliche E-Mails-Adressen der wichtigsten Sony-Führungskräfte.

Die Frage also muss lauten – kann ich mich dagegen schützen und wenn ja wie ?

GET STARTED: Vereinbaren Sie Ihre individuelle Beratung

Unsere Experten haben Erfahrung in der Analyse Ihrer Anforderungen und dem Vergleich vieler Anbieter, um die beste Lösung für Sie zu finden.