Ein Zero-Day-Exploit bezieht sich auf Cyberangriffe, die auf eine Software-Schwachstelle abzielen, die dem Softwarehersteller oder der zum Schutz des Systems eingesetzten Antiviren-Software unbekannt ist. Angreifer können solche Zero-Day-Schwachstellen identifizieren, einen Exploit entwickeln und diesen für einen Angriff nutzen. Bei Zero-Day-Angriffen ist die Wahrscheinlichkeit hoch, dass sie in das angegriffene Netzwerk eindringen, da es keine Abwehrmaßnahmen gegen die neue Bedrohung gibt. (da seit der Entdeckung der Sicherheitslücke durch die Sicherheitsbehörden „null Tage“ vergangen sind)
Dadurch werden Zero-Day-Angriffe zu erheblichen Sicherheitsbedrohungen.
Zero-Day-Angriffe basieren in der Regel auf Webbrowsern und E-Mail-Anhängen, um Schwachstellen in der jeweiligen Anwendung, die den Anhang öffnet, oder in bestimmten Dateitypen – Word, PDF, Excel, Flash usw. – auszunutzen. Sobald die Zero-Day-Malware in das System eingedrungen ist, kann sie sich schnell über alle Zielbereiche verbreiten.
Zero-Day-Schwachstellen gibt es in vielen Formen. Angreifer können fehlerhafte Algorithmen, mangelhafte Passwortsicherheit, eine fehlerhafte Web Application Firewall, fehlende Berechtigungen, ungeschützte Open-Source-Komponenten und vieles mehr ausnutzen, um einen SQL-Injection-Angriff zu starten. Wenn der Angriff erfolgreich ist, kann er weitere Software im angegriffenen Netzwerk kompromittieren, vertrauliche Informationen stehlen, Daten für hohe Summen als Lösegeld erpressen, Identitätsdiebstahl versuchen, das Betriebssystem des Unternehmens beschädigen und vieles mehr.
Typische Ziele für Zero-Day-Exploits
Zero-Day-Schwachstellen sind für verschiedene Parteien wertvoll. Aus diesem Grund gibt es einen Markt, auf dem Unternehmen Experten anheuern, um Schwachstellen zu entdecken. Neben diesem „White Market“ gibt es Schwarz- und Graumärkte, auf denen böswillige Akteure mit Details zu Zero-Day-Schwachstellen handeln können, ohne sie öffentlich zu machen.
Die typischen Ziele für Zero-Day-Exploits sind große Unternehmen, Regierungsbehörden, Einzelpersonen mit kritischem Dateizugriff (z. B. geistiges Eigentum), Hardware-Geräte, das Internet der Dinge (IoT), Firmware, Privatanwender, die ein anfälliges System verwenden (wenn sie infiziert sind, können sie zu Rädchen in einem Botnet werden), und vieles mehr. Manchmal nutzen Regierungsbehörden Zero-Day-Exploits, um Länder, Organisationen oder Einzelpersonen ins Visier zu nehmen, die die nationale Sicherheit bedrohen.
Was sind Zero-Day-Schwachstellen?
Wenn eine Einzelperson (oder ein Sicherheitsteam) eine Software mit potenziellen Sicherheitslücken entdeckt, wird normalerweise der Softwarehersteller benachrichtigt, damit ein Patch zur Behebung der Schwachstelle herausgegeben werden kann.
Mit genügend Zeit können die Softwareentwickler das Problem beheben und Patches (oder Software-Updates) verteilen, damit alle Software-Nutzer sie so schnell wie möglich anwenden können. Wenn böswillige Akteure von der Schwachstelle erfahren, kann es einige Zeit dauern, bis ein Exploit entwickelt und ein Angriff gestartet wird. In der Zwischenzeit wird der Patch hoffentlich bereits verfügbar sein und bereitgestellt werden.
Wie funktionieren Zero-Day-Angriffe?
Hacker können die ersten sein, die eine Schwachstelle in einem Softwareprogramm entdecken. Da die Anbieter und Sicherheitsteams noch nichts von der Schwachstelle wissen, haben sie praktisch so gut wie keine Zeit, um eine Verteidigung gegen einen gezielten Angriff aufzubauen. Unternehmen, die für solche Angriffe anfällig sind, können Verfahren zur Früherkennung einleiten, um ihre Netzwerke zu schützen.
Engagierte Sicherheitsforscher versuchen oft, mit Softwareherstellern zusammenzuarbeiten und erklären sich in der Regel bereit, Details zu Zero-Day-Schwachstellen für einen längeren Zeitraum zurückzuhalten, bevor sie veröffentlicht werden.
Sobald eine Zero-Day-Schwachstelle bekannt wird, nennt man sie eine „n-Day“- oder „One-Day“-Schwachstelle.
Beispiele für Zero-Day-Angriffe
Nachfolgend finden Sie einige Beispiele für Zero-Day-Angriffe der letzten Jahre.
- Stuxnet
Ein bösartiger Computerwurm zielt auf Zero-Day-Schwachstellen in Überwachungs- und Datenerfassungssystemen (SCADA) ab, indem er zunächst Windows-Betriebssysteme infiltriert. Stuxnet nutzte vier Zero-Day-Schwachstellen in Windows aus, um sich über beschädigte USB-Laufwerke zu verbreiten. Auf diese Weise infizierte der Wurm sowohl Windows- als auch SCADA-Systeme, ohne einen Netzwerkangriff zu starten.
Stuxnet traf Computer, die zur Steuerung der Produktion im Iran, in Indien und Indonesien eingesetzt werden. Es wird angenommen, dass das Hauptziel die iranischen Urananreicherungsanlagen waren. Ein Anschlag auf diese sollte das Atomprogramm des Landes stören. Sobald sie infiziert waren, führten die speicherprogrammierbaren Steuerungen (SPS) der betroffenen Computer unerwartete Befehle an den Fließbandmaschinen aus und verursachten eine Fehlfunktion in den Zentrifugen, die zur Herstellung von Kernmaterial verwendet werden.
- Sony Zero-Day-Angriff
Sony Pictures wurde Ende 2014 Opfer einer Zero-Day-Sicherheitslücke. Die Sicherheitslücke betraf das Netzwerk von Sony und führte zu einer Verletzung der Unternehmensdaten auf File-Sharing-Websites.
Die durchgesickerten Informationen enthielten Details zu kommenden Filmen, Geschäftsstrategien und persönliche E-Mail-Adressen von leitenden Sony-Mitarbeitern.
- Zero-Day-Angriffe auf Adobe Flash Player
Im Jahr 2016 wurde bei einem Zero-Day-Angriff eine bisher unentdeckte Sicherheitslücke (CVE-2016-4117) in Adobe Flash Player ausgenutzt. Darüber hinaus waren 2016 mehr als 100 Organisationen von einer Zero-Day-Sicherheitslücke (CVE-2016-0167) betroffen, die eine Ausweitung von Privilegien für Angriffe auf Microsoft Windows ermöglichte.
Im Jahr 2011 nutzten böswillige Akteure eine ungepatchte Sicherheitslücke in Adobe Flash Player, um sich Zugang zum Netzwerk des Sicherheitsunternehmens RSA zu verschaffen. Die Bedrohungsakteure schickten E-Mail-Anhänge mit Excel-Tabellen an mehrere RSA-Mitarbeiter. Die Excel-Dokumente enthielten eine eingebettete Flash-Datei zur Ausnutzung der Zero-Day-Schwachstelle.
Beim Öffnen eines der beschädigten Anhänge aktivierte ein Mitarbeiter unwissentlich die Installation des Fernverwaltungsprogramms Poison Ivy, das die Kontrolle über den infizierten Computer übernahm. Sobald sie in das RSA-Netzwerk eingedrungen waren, durchsuchten, kopierten und übermittelten die Hacker sensible Informationen an externe Server, die sie kontrollierten.
RSA gab später zu, dass sich unter den gestohlenen Daten auch sensible Informationen über die SecurID-Zwei-Faktor-Authentifizierungstools des Unternehmens befanden, die weltweit zum Schutz kritischer Arbeitslasten und Geräte eingesetzt werden.
- Microsoft Office Zero-Day-Angriffe
2017 deckte eine Zero-Day-Schwachstelle auf, dass Microsoft Office-Dokumente im „Rich-Text-Format“ beim Öffnen die Ausführung eines Visual-Basic-Skripts mit PowerShell-Befehlen ermöglichen können. (CVE-2017-0199)
Ein weiterer Zero-Day-Exploit aus dem Jahr 2017 (CVE-2017-0261) transportierte gekapseltes PostScript, um eine Plattform für die Initiierung von Malware-Infektionen zu bieten.
- Operation Aurora
Im Jahr 2009 wurden mehrere große Unternehmen – Google, Yahoo, Adobe Systems und Dow Chemical – mit einem Zero-Day-Exploit angegriffen, um geistiges Eigentum (IP) zu finden und zu stehlen. Die Zero-Day-Schwachstelle bestand in Internet Explorer und Perforce. (Google verwendet letzteres zur Verwaltung seines Quellcodes)
Wie erkennt man einen Zero-Day-Angriff?
Ein Zero-Day-Angriff ist schwer zu erkennen. Antivirensoftware, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) können die Bedrohungssignatur nicht genau bestimmen, da sie noch nicht existiert.
Die beste Möglichkeit, Zero-Day-Bedrohungen zu erkennen, ist die Analyse des Nutzerverhaltens. Die meisten Unternehmen, die zur Interaktion mit Ihrem Netzwerk berechtigt sind, weisen bestimmte Nutzungs- und Verhaltensmuster auf, die als „normales“ Verhalten gelten. Netzwerkaktionen außerhalb des normalen Rahmens könnten auf eine Zero-Day-Bedrohung hinweisen.
Unternehmen, die von einem Zero-Day-Exploit angegriffen werden, stellen häufig unerwarteten Datenverkehr oder verdächtige Scanversuche von einem Dienst oder einem Client fest. Neben der Verhaltensanalyse können Unternehmen eine Zero-Day-Bedrohung auch durch die folgenden Maßnahmen erkennen:
- Vorhandene Malware-Datenbank und Malware-Verhaltensstatistiken als Referenz. Doch selbst wenn diese Datenbanken in Echtzeit aktualisiert werden, nutzen Zero-Day-Exploits von Angreifern neu entdeckte Schwachstellen aus. Eine bestehende Datenbank ist also per Definition begrenzt, wenn es darum geht, unbekannte Bedrohungen zu erkennen.
- Das maschinelle Lernen wird zunehmend zur Erkennung von zuvor aufgezeichneten Exploit-Informationen eingesetzt, um auf der Grundlage früherer und aktueller Systeminteraktionsdaten eine Basislinie für sicheres Systemverhalten zu erstellen. Je mehr Daten ein Unternehmen sammelt, desto zuverlässiger kann es Zero-Day-Bedrohungen erkennen.
Da die Ausnutzung von Schwachstellen ein sich ständig weiterentwickelnder Bereich ist, wird ein hybrider Erkennungsansatz empfohlen, um Unternehmen und ihre wertvollen Geschäftsdaten zu schützen.
Wie kann man sich vor Zero-Day-Schwachstellen schützen?
Da Zero-Day-Exploits so schwer zu erkennen sind, ist es schwierig, sich gegen sie zu verteidigen. Tools zum Scannen von Software-Schwachstellen stützen sich auf Malware-Signaturprüfprogramme, die verdächtigen Code mit bekannten Malware-Signaturen vergleichen. Wenn bei einem Zero-Day-Angriff ein Zero-Day-Exploit verwendet wird, der noch nie zuvor aufgetreten ist, kann die Schwachstellenüberprüfung den bösartigen Code nicht erkennen und blockieren.
Da bei Zero-Day-Angriffen eine unbekannte Sicherheitslücke ausgenutzt wird, können Unternehmen die spezifische Schwachstelle nicht kennen, bevor sie auftritt. Dennoch gibt es verschiedene Methoden, um das Risiko zu verringern und Unternehmen vor neuen Bedrohungen zu schützen.
VLANs verwenden
Virtuelle lokale Netzwerke (VLANs) können bestimmte Netzwerkbereiche abtrennen oder physische oder virtuelle Netzwerksegmente verwenden, um wichtigen Datenverkehr zwischen Unternehmensservern zu isolieren.
Selbst wenn Angreifer den Schutz des Unternehmens durchbrechen und sich Zugang zum Netzwerk verschaffen, können sie auf diese Weise keine Daten aus geschäftskritischen Netzwerkbereichen stehlen.
Systeme regelmäßig aktualisieren
Eine adäquate Patch-Verwaltung ist für Unternehmen jeder Größe von entscheidender Bedeutung.
Softwareentwickler geben Sicherheits-Patches heraus, sobald sie von einer potenziellen Sicherheitslücke erfahren. Die schnellstmögliche Anwendung von Zero-Day- und N-Day-Patches behebt zwar keine unbekannten Software-Schwachstellen, erschwert aber den Erfolg eines Zero-Day-Angriffs.
Implementierung der Verschlüsselung des Netzwerkverkehrs
Es ist unmöglich, alle Sicherheitslücken zu erkennen, bevor ein Zero-Day-Exploit auftritt. Unternehmen können jedoch ein IP-Sicherheitsprotokoll (IPsec) verwenden, um den kritischen Netzwerkverkehr zu verschlüsseln und zu authentifizieren.
Andererseits kann eine fehlende Datenverschlüsselung alle Informationen im Unternehmensnetz angreifbar machen, zu erheblichen Ausfallzeiten führen und den Umsatz stark beeinträchtigen.
Einsatz von IPS oder IDS
Signaturbasierte IPS und IDS sind unter Umständen nicht in der Lage, einen Angriff allein zu erkennen und abzuwehren. Dennoch können sie als Nebeneffekt eines laufenden Angriffs Sicherheitsteams auf verdächtige eingehende Dateien aufmerksam machen.
NAC umsetzen
Abtrünnige Rechner können auf kritische Bereiche der Unternehmensumgebung zugreifen und Geräte im gesamten Netzwerk gefährden. Die Netzwerk-Zugangskontrolle (NAC) verweigert fehlende Berechtigungen, so dass nur Personen, die dazu berechtigt sind, diese Bereiche erkunden können.
Regelmäßige Kontrollen durchführen und Mitarbeiter schulen
Regelmäßige Schwachstellen-Scans in allen Unternehmensnetzwerken sind unerlässlich, um Schwachstellen zu entdecken und sie zu schließen, bevor Angreifer sie ausnutzen können.
Hinzu kommt, dass viele Zero-Day-Exploits auf menschlichem Versagen beruhen. Die Schulung der Mitarbeiter in guter Cybersicherheitshygiene schützt sie online und verhindert versehentlich aktivierte Zero-Day-Exploits und andere böswillige Bedrohungen.
Verwenden einer umfangreichen Cybersicherheitslösung
Dedizierte EDR-Software wie Acronis Cyber Protect Cloud kann böswillige Aktivitäten erkennen, stoppen und blockieren und betroffene Dateien schnell wiederherstellen. Außerdem können Sie Acronis Backup 12.5 verwenden, um Dateien und Dokumente in Echtzeit zu schützen, wichtige Software-Patches zu automatisieren und mehrere vollständige System-Backups zu erstellen, um eine vollständige Wiederherstellung zu gewährleisten, selbst wenn ein Zero-Day-Angriff stattfindet.
