Was ist ein Zero-Day-Exploit? Definition und wie du dich schützen kannst

Was ist Zero-Day?

Der Begriff „Zero-Day“ (wörtlich aus dem Englischen übersetzt „Nulltag“) kann sich auf zwei verschiedene Konzepte beziehen – Zero-Day-Schwachstellen und Zero-Day-Exploits. Beginnen wir mit dem ersten.

Eine Zero-Day-Schwachstelle ist eine Schwachstelle in Software oder Hardware, die von ihren Entwicklern noch nicht entdeckt wurde. Das bedeutet, dass es derzeit keine Möglichkeit gibt, die Sicherheitslücke zu schließen. Dabei kann es sich um jede Art von Schwachstelle handeln – ein Bug, fehlende Verschlüsselung, fehlende Berechtigungen, um nur einige Beispiele zu nennen.

Der Begriff Zero-Day bezieht sich auf die Zeitspanne von null Tagen, in der der Softwarehersteller von der Schwachstelle wusste. Der Name geht auf Online-Bulletin-Boards zurück, als Zero-Day die Anzahl der Tage bezeichnete, die eine neue Software öffentlich zugänglich war.

Wenn jemand eine Zero-Day-Schwachstelle entdeckt, meldet er sie im besten Fall den Softwareentwicklern, damit diese sie patchen können, bevor sie ausgenutzt werden kann. Es gibt sogar Datenbanken, in denen die Cybersecurity-Community ihr Wissen bündelt, um diese Bedrohungen gemeinsam zu bekämpfen. Aber leider sind manchmal die Hacker zuerst da.

Das bringt uns zu einem Zero-Day-Exploit. Ein Zero-Day-Exploit ist der Code, den Kriminelle verwenden, um die Zero-Day-Schwachstelle für ihre Zwecke zu missbrauchen. Die Schwachstellen ermöglichen es ihnen, einen Zero-Day-Angriff durchzuführen – darunter fällt es, Backdoors zu installieren, Schadsoftware einzuschleusen oder sensible Daten zu stehlen.

Da Zero-Day-Angriffe potenziell unentdeckt durchgeführt werden können, sind diese Schwachstellen unglaublich wertvolles Wissen für Kriminelle. Es sind nicht nur Hacker, die von der schwachen Cybersicherheit eines großen Unternehmens profitieren wollen. Auch Geheimdienste auf der ganzen Welt können Zero-Day-Angriffe starten.

Wie funktioniert Zero-Day?

Auch wenn Softwareentwickler ihre Produkte meist sorgfältig auf Schwachstellen und Sicherheitslücken überprüfen, kann es immer auch zu Bugs und Fehlern kommen, die durch Hacking ausgenutzt werden können und auch aktiv danach suchen.

Sobald ein Cyberangreifer eine bisher unentdeckte Zero-Day-Schwachstelle gefunden hat, kann er ein Codesegment schreiben, um diese auszunutzen. Was dieser Code ist und tut, hängt von der Art der entdeckten Schwachstelle ab. Manchmal können sich Angreifer mit einem Zero-Day-Exploit Zugang zum System verschaffen. Wenn das nicht möglich ist, versuchen sie, jemanden auszutricksen, damit er sie reinlässt – etwa durch Social Engineering oder Phishing.

Eine Zero-Day-Schwachstelle kann Monate oder Jahre unentdeckt bleiben, bevor sie entdeckt wird. In dieser Zeit können Angreifer Daten stehlen oder kopieren und sensible Systeme beschädigen, bis der Softwarehersteller den Fehler erkennt und behebt. Kriminelle verkaufen diese Informationen nicht selten auch im Dark Web für hohe Summen. Die Entdeckung, der Kauf und der Verkauf von Zero-Day-Schwachstellen hat sich sogar zu einer ganzen Branche entwickelt:

• Auf Black Markets werden Informationen über Zero-Day-Schwachstellen verkauft, so dass Kriminelle mit Informationen darüber handeln können, wie sie Softwarefehler ausnutzen können.
• Grey Markets richten sich an Cybersicherheitsunternehmen und ermöglichen es Experten, Informationen an Militärs, Geheimdienste und andere Behörden zu verkaufen.
• White Markets sind eher mit CVE- oder Bug-Bounty-Programmen vergleichbar, bei denen Forscher Informationen an Softwareentwickler weitergeben, die einen Fehler gefunden haben.

Worauf zielen Zero-Day-Attacken am häufigsten ab?

Die Ziele von Zero-Day-Angriffen sind vielfältig. Sie greifen zum Beispiel unterschiedliche Systeme an. Dazu gehören Betriebssysteme, Browser, Office-Apps, quelloffene Komponenten, Hardware, Firmware und Smart-Home-Geräte.

All diese Systeme und Geräte findet man sowohl in Unternehmen als auch bei Verbrauchern zu Hause, daher ist die Bandbreite an potenziellen Zero-Day-Opfern groß:

• Großunternehmen und Organisationen
• Behörden, politische Akteure oder andere national sicherheitsrelevante Organisationen
• Smart-Home-Geräte, Hardware-Geräte und Firmware
• Personen, die Zugang zu wichtigen firmeneigenen Informationen haben
• Jede Person, die einen Browser oder Betriebssysteme nutzt

Die bekanntesten Zero-Day-Exploits

In der jüngeren Geschichte gibt es viele Beispiele für bekannte Zero-Day-Angriffe. Werfen wir einen Blick auf einige Vorfälle.

• Juli 2021 wurde eine Versorgungskette (Supply Chain) angegriffen – und zwar über die Software Virtual System Administrator (VSA) eines US-amerikanischen Herstellers, die auch in Deutschland weitverbreitet ist. Bei dem Angriff machten sich Kriminelle mit der Ransomware REvil die Verwaltungsfunktionalität von VSA zu Nutze. Über die Zero-Day-Schwachstelle CVE-2021-30116 verteilten die Angreifer innerhalb weniger Tage massenhaft die Ransomware REvil auf mittels VSA verwalteten Clients. 800 bis 1500 Endkunden waren von dem Angriff betroffen. Kurze Zeit später im Juli führte der Hersteller von VSA Sicherheitspatches der Zero-Day-Schwachstelle durch.
• 2021 war kein gutes Jahr für Chrome Zero-Day-Exploits. Der Browser musste in dem Jahr drei Notfall-Patches für Zero-Day-Schwachstellen veröffentlichen. Die jüngste Schwachstelle könnte Remotecodeausführung und DDoS-Angriffe auf die betroffenen Systeme ermöglichen.
• Im Jahr 2020 hatte Firefox eine Sicherheitslücke, die es Hackern ermöglichte, Code im Speicher von Firefox zu platzieren und auszuführen. Dadurch konnten Kriminelle bösartigen Code auf jedem Gerät ihrer Opfer ausführen. Die Entwickler veröffentlichten einen Notfall-Patch, aber nicht bevor es einigen Hackern gelang, die Schwachstelle auszunutzen.
• 2017 fanden Hacker eine Sicherheitslücke in Microsoft Word und entwickelten die Schadsoftware Dridex, die sie in MS-Word-Anhängen versteckten. Wer die Datei herunterlud, aktivierte den Dridex-Trojaner. Die gefährliche Schadsoftware für Bankbetrug verbreitete sich auf Millionen von Nutzern weltweit.

Wie erkenne ich, dass ich Opfer eines Zero-Day-Angriffs geworden bin?

Zero-Day-Sicherheitslücken können vielfältig sein und in Form von Bugs, fehlender Verschlüsselung, fehlerhaften Algorithmen usw. Auftreten. Das macht es auch so schwar, sie zu entdecken, und erst nach einem Angriff kommen die Details zur Schwachstelle ans Tageslicht.

Unternehmen verzeichnen bei Zero-Day-Exploits mitunter höheren Datenverkehr oder fragwürdig Scan-Aktivitäten, die von einem Dienst ausgehen. Es gibt ein paar Methoden, um Zero-Day-Exploits auf die Schliche zu kommen:

• Scannen auf Sicherheitslücken. Schwachstellenscans können einige Zero-Day-Exploits aufdecken. Bestimmte Software kann Angriffe auf Software-Code simulieren, Code-Überprüfungen durchführen und versuchen, neue Schwachstellen zu finden.
• Management von Patches. Patches sollten für entdeckte Schwachstellen schnellstmöglich umgesetzt werden. Dies kann zwar keine Zero-Day-Angriffe verhindern, aber die schnelle Anwendung von Patches und Software-Upgrades kann das Risiko eines Angriffs erheblich verringern.
• Eine der effektivsten Möglichkeiten, Zero-Day-Angriffe zu verhindern, ist der Einsatz einer Web Application Firewall (WAF) am Netzwerkrand. Eine WAF überprüft den gesamten eingehenden Datenverkehr und filtert bösartige Eingaben heraus, die auf Sicherheitslücken abzielen könnten.
• Validierung und Bereinigung von Eingaben. Die Validierung von Eingaben löst viele Probleme, die beim Scannen auf Sicherheitslücken und beim Patch-Management auftreten. Sie lässt Unternehmen nicht ungeschützt, während sie ihre Systeme patchen oder ihren Code bereinigen – Prozesse, die viel Zeit in Anspruch nehmen können. Sie wird von Sicherheitsexperten betrieben und ist viel flexibler, da sie sich anpassen und in Echtzeit auf neue Bedrohungen reagieren kann.
• Runtime Application Self-Protection (RASP). RASP-Agenten sitzen innerhalb von Anwendungen und untersuchen die Nutzdaten von Anfragen mit dem Kontext des Anwendungscodes zur Laufzeit, um festzustellen, ob eine Anfrage normal oder bösartig ist – so können sich Anwendungen selbst verteidigen.

Tipps, wie man sich vor Zero-Day-Angriffen schützt

Wie kannst du dich also vor einer Zero-Day-Bedrohung schützen, von denen du nichts weißt? Manchmal nutzen Hacker Zero-Day-Schwachstellen zusammen mit anderen Angriffsmethoden. Hier erfährst du, wie du dein Risiko, Opfer eines Angriffs zu werden, verringern kannst:

• Aktualisiere deine Software: Software-Updates enthalten oft Patches für kritische Sicherheitslücken, führe sie umgehend durch, wenn sie bereitstehen.
• Informiere dich: Schwachstellen-Datenbanken und Bug-Bounty-Programme sind wichtig, um Schwachstellen in deiner Software zu entdecken, mach dich daher schlau, was es Neues gibt.
• Hüte dich vor Phishing-Betrügereien: Manche Zero-Day-Angriffe funktionieren nur, wenn sie mit anderen Angriffen kombiniert werden. Klicke nicht auf unbekannte Links oder E-Mail-Anhänge – du könntest dabei sensible Daten an Kriminelle weitergeben.

Nutze auch ein VPN und eine Antivirensoftware, um dich vor potenziellen Cyberbedrohungen zu schützen. Ein VPN hilft dabei, die Daten deines Unternehmens zu schützen und sogar potenzielle Phishing-Seiten zu blockieren; hier erfährst du, wie:

• Ein VPN schützt die Daten eines Unternehmens: Ein VPN verschlüsselt den gesamten Online-Verkehr, einschließlich des App-Verkehrs, von jedem Gerät, das mit deinem Netzwerk verbunden ist. Wenn Mitarbeiter ihre eigenen unverschlüsselten Apps benutzen, um sensible Daten zu versenden, können diese leicht von Kriminellen abgefangen und gestohlen werden.
• Ein VPN blockiert Phishing-Seiten: NordVPN bietet einen Bedrohungsschutz, der mit bösartiger Schadsoftware verseuchte Seiten blockiert. Die Funktion verhindert auch Pop-up-Werbung, die dafür berüchtigt ist, Spyware und andere Schadsoftware zu verbreiten, wenn du darauf klickst. Der Bedrohungsschutz kann deine Downloads scannen und mit Schadsoftware verseuchte Dateien identifizieren.