Was ist ein Zero-Day ?

Veröffentlicht am 19. Juli 2023 20,07 Minuten zu lesen 3672 Worte

Ein Zero-Day (0-Day) ist eine ungepatchte Sicherheitslücke, die den Entwicklern von Software, Hardware oder Firmware unbekannt ist. „Zero-Day“ sagt aus, dass die betroffenen Parteien null Tage Zeit haben, um sich auf den Angriff vorzubereiten oder ihn abzuwehren, da sie noch keine Kenntnis von der Schwachstelle haben. Zero-Day-Exploits werden oft auf dem Schwarzmarkt gehandelt oder von kriminellen Hackern verwendet, um die Sicherheitslücke auszunutzen.

Im Allgemeinen bezieht sich der Begriff Zero-Day auf zwei Dinge:

  1. Zero-Day-Sicherheitslücken: Eine Sicherheitslücke, z. B. in einem Betriebssystem, die dem Entwickler und der Antivirensoftware unbekannt ist.
  2. Zero-Day-Exploits: Ein Cyber-Angriff, der eine Zero-Day-Schwachstelle ausnutzt. Zero-Day-Exploits können dazu verwendet werden, verschiedene Arten von Malware zu installieren, sensible Daten oder Kreditkartennummern zu stehlen und Datenverletzungen zu verursachen.

Der Name Zero-Day leitet sich von der Anzahl der Tage ab, seit denen es einen Patch für die Schwachstelle gibt: Null.

Was sind die Risiken von Zero-Day-Schwachstellen?

Zero-Day-Bedrohungen stellen ein erhebliches Risiko für die Cybersicherheit dar, da sie demjenigen, der für die Behebung der Schwachstelle verantwortlich ist, unbekannt sind und möglicherweise bereits ausgenutzt werden.

BlueKeep (CVE-2019-0708) beispielsweise ist eine Sicherheitslücke für die Ausführung von Remotecode, die etwa eine Million Systeme (Stand: 29. Mai 2019) mit älteren Versionen von Microsoft-Betriebssystemen betrifft.

Diese Zero-Day-Schwachstelle machte während des Patch Tuesday von Microsoft im Mai 2019 Schlagzeilen, da sie wurmfähig ist.

Das bedeutet, dass sich erfolgreiche Cyberangriffe, die BlueKeep nutzen, auf ähnliche Weise ausbreiten können wie der EternalBlue-Exploit von WannaCry.

Microsoft sah BlueKeep als eine so große Cyber-Bedrohung für die Informations- und Cybersicherheit an, dass sie Patches für nicht mehr unterstützte und nicht mehr verfügbare Betriebssysteme veröffentlichten.

BlueKeep kann mit Tools wie Masscan und Zmap, die große Teile des Internets scannen, innerhalb von Minuten entdeckt werden, so dass es für Angreifer trivial ist, verwundbare Systeme zu finden.

Was macht eine Sicherheitslücke zu einer Zero-Day-Sicherheitslücke?

Normalerweise finden security-researchers potenzielle Schwachstellen in Softwareprogrammen, benachrichtigen das Softwareunternehmen, um das Sicherheitsrisiko zu beheben, und geben es nach einer gewissen Zeit über CVE öffentlich bekannt.

Googles Project Zero beispielsweise gibt Anbietern bis zu 90 Tage Zeit, um eine Sicherheitslücke zu schließen, bevor sie sie veröffentlichen. Für als kritisch eingestufte Schwachstellen wird eine Frist von sieben Tagen eingeräumt, und aktiv ausgenutzte Schwachstellen können sofort öffentlich bekannt gegeben werden.

Der Grund dafür ist, dass die meisten Unternehmen in der Lage sind, die Schwachstelle zu beheben und ein Software-Update (Patch) zu verteilen, um sie zu beheben.

Und im Allgemeinen funktioniert das auch. Potenzielle Angreifer brauchen Zeit, um herauszufinden, wie sie die Sicherheitslücke am besten ausnutzen können.

Es gibt jedoch Situationen, in denen sich der Entdecker dafür entscheidet, den Softwarehersteller und die Anbieter von Antivirenprogrammen nicht zu benachrichtigen.

Zero-Day-Schwachstellen und Exploit-Codes sind äußerst wertvoll, nicht nur für Cyberkriminelle, sondern auch für staatliche Akteure, die sie für Cyberangriffe auf feindliche Staaten nutzen können.

Was sind gängige Zero-Day-Angriffsvektoren?

Welcher Angriffsvektor bei einem Zero-Day-Angriff verwendet wird, hängt von der Art der Zero-Day-Schwachstelle ab.

Wenn Benutzer betrügerische Websites besuchen, kann bösartiger Code auf der Website manchmal Zero-Day-Schwachstellen in Webbrowsern wie Internet Explorer oder Chrome ausnutzen.

Ein weiterer gängiger Angriffsvektor zur Ausnutzung von Zero-Day-Schwachstellen sind E-Mails. Cyberkriminelle nutzen E-Mail-Spoofing, Phishing oder Spear-Phishing, um Angriffe zu starten, die vom Opfer geöffnet werden müssen, um die bösartige Nutzlast auszuführen.

Die Gefahr von Zero-Day-Angriffen besteht darin, dass ihr Angriffsvektor unbekannt ist und in der Regel von Bedrohungsdaten und Sicherheitssoftware unentdeckt bleibt.

Wer sind die typischen Ziele von Zero-Day-Angriffen?

  • Regierungsbehörden
  • Große Unternehmen
  • Einzelpersonen mit Zugang zu wertvollen Geschäftsdaten oder geistigem Eigentum
  • Gruppen von Einzelpersonen mit anfälligen Systemen wie einem veralteten Android- oder Linux-Gerät
  • Hardware-Geräte und deren Firmware
  • Internet der Dinge (IoT)
  • Feinde des Staates

Was sind Beispiele für Zero-Day-Angriffe?

WannaCry: Ein Ransomware-Wurm nutzte EternalBlue aus – eine Schwachstelle in alten Windows-Versionen mit veraltetem SMB-Protokoll. Die NSA entdeckte die Lücke Monate vor WannaCry, veröffentlichte sie aber nicht.
Cyberkriminelle stahlen EternalBlue und nutzten es für WannaCry. WannaCry verbreitete sich auf Hunderttausende Computer, bevor Microsoft einen Patch veröffentlichte.

Stuxnet: Ein bösartiger Computerwurm, der erstmals 2010 entdeckt wurde und sich vermutlich seit mindestens 2005 in der Entwicklung befand. Stuxnet zielte auf SCADA-Systeme der iranischen Urananlage Natanz. Der Wurm nutzte fünf Zero-Day-Schwachstellen zur Verbreitung und zur Umgehung der Zugangskontrollen. Eine Schwachstelle war zwar gepatcht, aber viele Rechner wurden nicht aktualisiert.

RSA: Im Jahr 2011 nutzten Angreifer eine ungepatchte Sicherheitslücke in Adobe Flash Player, um in die Netzwerksicherheit des Sicherheitsunternehmens RSA einzudringen. Die Angreifer nutzten Phishing und E-Mail-Spoofing, um infizierte Excel-Tabellen an kleine Gruppen von RSA-Mitarbeitern zu verteilen. Die Excel-Dateien enthielten eine eingebettete Flash-Datei, die die Zero-Day-Schwachstelle ausnutzte und das Remote Administration Tool (RAT) Poison Ivy installierte. Sobald sie sich Zugang verschafft hatten, suchten die Angreifer nach sensiblen Daten und übermittelten sie an ihre Server.

Operation Aurora: Im Jahr 2009 verschafften sich vermutlich chinesische Angreifer unbefugten Zugang zu Dutzenden amerikanischer Unternehmen, darunter Google, Adobe, Juniper Networks und Rackspace, indem sie eine Zero-Day-Schwachstelle in mehreren Versionen des Internet Explorer ausnutzten.

Sony Pictures: Sony Pictures wurde Ende 2014 Opfer eines Zero-Day-Malware-Angriffs. Die Angreifer nutzten eine Schwachstelle im Server Message Block (SMB) aus. Diese Schwachstelle führte zu einem massiven Datenverlust. Dabei wurden wertvolle Unternehmensdaten entwendet. Dazu gehörten unter anderem bevorstehende Filme, vertrauliche Geschäftspläne und persönliche E-Mail-Adressen.
Auch die Adressen wichtiger Sony-Führungskräfte waren betroffen. Die gestohlenen Daten konnten gezielt zur Unternehmensspionage verwendet werden.

Die Frage also muss lauten – kann ich mich dagegen schützen und wenn ja wie ?

Autorenbild: Ronald Bals