Eine Zero Day Schwachstelle ist ein Begriff, der verwendet wird, um Sicherheitsbedrohungen, Schwachstellen, Lücken im Programmcode zu bezeichnen, die in der Testphase nicht erkannt wurden und gegen die kein Schutz besteht. Anfangs sind sie niemandem bekannt: Entwickler, Antivirus-Unternehmen, Benutzer wissen nichts von ihrer Existenz. Eine Zero-Day-Schwachstelle wird bekannt, bevor der Hersteller Updates veröffentlicht. Daher haben die Entwickler 0 Tage Zeit, um den Fehler zu beheben. Geräte, auf denen das anfällige Programm installiert ist, sind gefährdet, und Benutzer haben keine Möglichkeit, sich zu schützen, es sei denn, sie verwenden das Security Operations Center.
Wie funktioniert ein Zero Day Angriff?
Wenn es einen Zero-Day-Angriff gab, bedeutete dies, dass die Angreifer genug Zeit über das Problem wussten, um die Malware zu schreiben und zu aktivieren, um sie auszunutzen.
Ein Zero Day Exploit ist ein Hackerprogramm, das geschrieben wurde, um eine Schwachstelle auszunutzen, von der der Entwickler noch nichts weiß (und dementsprechend gibt es keine Updates, die sie beheben). Solche Angriffe sind gefährlich, weil es unmöglich ist, sich darauf vorzubereiten, und auch, weil ständige Software-Updates ihre Verhinderung nicht garantieren oder das Risiko ihres Auftretens verringern.
Gezielte Zero-Day-Angriffe werden gegen potenziell bedeutende Ziele wie große Organisationen, Regierungsbehörden und hochkarätige Einzelpersonen durchgeführt. Nicht gezielte Angriffe zielen in der Regel auf Zero Day Lücken im Programmcode anfälliger Objekte ab: Betriebssysteme und Browser.
Erkennung von Zero-Day-Angriffen
Weder die Schwachstelle selbst noch der Zero-Day-Angriff sind zu erkennen – einmal von Anwendern und Entwicklern entdeckt, handelt es sich nicht mehr um eine Zero-Day-Bedrohung! Deshalb sind Zero-Day-Angriffe mit Abstand eine der komplexesten Arten von Bedrohungen mit den verheerendsten Folgen, aber sie können auch bekämpft werden. Einige Antivirenprogramme sind beispielsweise in der Lage, Zero-Day-Angriffe mithilfe integrierter Verhaltensanalysen zu erkennen, die böswillige Aktivitäten erkennen können. Einige Methoden zur Erkennung von Zero-Day-Angriffen umfassen:
Ø Nutzung vorhandener Malware-Datenbanken mit Verhaltensbeschreibungen als Referenz.
Solche Datenbanken werden ständig aktualisiert und können als Richtlinie nützlich sein, aber Zero-Day-Exploits sind per Definition neu und unbekannt, sodass die vorhandene Datenbank keine vollständigen Informationen liefern kann.
Ø Alternativ können Sie anhand der Interaktion mit dem Zielsystem nach Anzeichen von Zero-Day-Malware suchen.
Diese Methode untersucht nicht den Code der eingehenden Dateien, sondern ihre Interaktion mit vorhandenen Programmen und versucht festzustellen, ob eine solche Interaktion das Ergebnis einer böswilligen Aktivität ist.
Ø Maschinelles Lernen wird zunehmend verwendet, um Daten zu zuvor aufgezeichneten Exploits zu erkennen.
Dadurch wird ein Maßstab für das sichere Verhalten des Systems basierend auf vergangenen und aktuellen Interaktionen mit dem System erstellt. Je mehr Daten zur Verfügung stehen, desto zuverlässiger ist die Erkennung.
Wie kann man Zero Day Exploits entgegenwirken?
Angriffe, die Zero-Day-Schwachstellen ausnutzen, sind selbst bei hochsicheren Netzwerken äußerst effektiv, daher müssen Benutzer beim Surfen im Internet den gesunden Menschenverstand walten lassen und grundlegende Regeln befolgen, z. B.:
- keine Anhänge von verdächtigen Nachrichten öffnen;
- keine Dateien herunterladen unbekannte Quellen;
- halten Sie installierte Programme auf dem neuesten Stand.
Um sich vor Zero-Day-Angriffen zu schützen und Computer und Daten sicher zu halten, ist es wichtig, dass Einzelpersonen und Organisationen bestimmte Cybersicherheitsregeln befolgen.
1) Schulung der Mitarbeiter des Unternehmens
In den meisten Fällen werden Zero-Day-Schwachstellen durch Fehler von Unternehmensmitarbeitern verursacht. Daher ist es wichtig, ihnen nicht nur allgemeine, sondern auch tiefergehende Internet-Sicherheitsregeln beizubringen. So werden Mitarbeiter nicht nur auf Zero-Day-Angriffe, sondern auch auf andere Cybersecurity-Probleme vorbereitet.
2) Datensicherung
Das Unternehmen sollte immer eine Kopie aller wichtigen Daten haben, die an einem sicheren Ort aufbewahrt werden sollten. Wenn Angreifer Systemschwachstellen ausnutzen und wichtige Informationen beschädigen oder einfach löschen, können diese jederzeit wiederhergestellt werden.
3) Rechtzeitige Aktualisierung von Programmen
Die Behebung einer Zero-Day-Schwachstelle liegt in der Regel in der Verantwortung des Softwareentwicklers, der ein Update mit Korrekturen für die gefundenen Fehler veröffentlichen muss. Die rechtzeitige Installation von Updates für die auf dem Computer installierten Programme hängt jedoch vom Benutzer ab.
Auch die größten Unternehmen waren Zero-Day-Angriffen ausgesetzt
Der Chromium-Webbrowser wies im Jahr 2021 einen Rekord von 14 Zero-Day-Schwachstellen auf. Davon waren 10 Renderer-Remote-Code-Execution-Schwachstellen, 2 Sandbox-Escapes, 1 ein Informationsleck und 1 wurde zum Öffnen von Webseiten in anderen Android-Apps verwendet Google Chrome.
Die Betreuer des NGINX-Webservers entdeckten drei Zero-Day-Schwachstellen in einem Modul der Referenzimplementierung des NGINX Lightweight Directory Access Protocol (LDAP). Durch die Umgehung sorgfältig entworfener HTTP-Anforderungsheader können Angreifer Konfigurationseinstellungen außer Kraft setzen und ihre eigenen Konfigurationen mit NGINX Zero Day erstellen.
Im Jahr 2020 haben die Entwickler von Zoom, der beliebten Videokonferenzsoftware, daran gearbeitet, eine 0-Day-Schwachstelle im Windows-Client zu beheben. Bei erfolgreicher Ausnutzung könnte der Fehler zur Remotecodeausführung führen. Experten betonen, dass die Schwachstelle für ältere Versionen des Betriebssystems – Windows 7 und Windows Server 2008 R2 – relevant war.
Apple iOS wird oft als die sicherste Smartphone-Plattform bezeichnet. Es hat jedoch im Jahr 2020 mindestens zwei Zero-Day-Angriffe erlitten. Einer der Zero-Day-Bugs ermöglichte es Angreifern, das iPhone aus der Ferne zu kompromittieren.
Im Jahr 2019 zielte ein Angriff auf die lokale Privilegieneskalation, einen anfälligen Teil von Microsoft Windows, und auf Regierungsinstitutionen in Osteuropa ab. Dieser Zero-Day-Angriff nutzte eine Microsoft Windows-Schwachstelle für lokale Berechtigungen aus, um willkürlichen Code auszuführen und Programme zu installieren sowie Daten über kompromittierte Programme anzuzeigen und zu ändern. Nachdem der Angriff identifiziert und dem Microsoft Threat Response Center gemeldet wurde, wurde ein Patch entwickelt und veröffentlicht.
Das Ergebnis von Day Zero in Word im Jahr 2017 war die Kompromittierung persönlicher Bankkonten. Die Opfer waren Personen, die unwissentlich ein bösartiges Word-Dokument geöffnet haben. Das Dokument zeigte eine Aufforderung zum Herunterladen von Remote-Inhalten, ein Popup-Fenster, in dem externer Zugriff von einem anderen Programm angefordert wurde. Beim Klicken auf die Schaltfläche „Ja“ wurde Malware auf den Geräten der Benutzer installiert, die die Zugangsdaten für die Anmeldung bei der Internetbank abfing.
Der Stuxnet-Angriff ist der größte Zero-Day-Exploit der Geschichte. Es zielte auf eine Urananlage im Iran ab und wurde geschaffen, um den iranischen Atomwaffenplan zu vereiteln. Der bei dem Angriff verwendete Wurm war vermutlich eine gemeinsame Anstrengung der US-amerikanischen und der israelischen Regierung und nutzte vier Zero-Day-Fehler in Microsofts Betriebssystem Windows aus.
Das Unglaubliche am Stuxnet-Angriff ist, dass er über den digitalen Bereich hinausging und in der physischen Welt Chaos anrichten konnte. Berichten zufolge führte dies zur Zerstörung von etwa einem Fünftel der iranischen Atomzentrifugen. Außerdem war der Wurm in seinem Ziel bewusst, da er Computern, die nicht direkt mit den Zentrifugen verbunden waren, wenig bis gar keinen Schaden zufügte.