Bei Zero-Day-Schwachstellen handelt es sich um Schwachstellen in Protokollen, Software und Anwendungen, die weder der Öffentlichkeit noch den Produktentwicklern, bei denen die Schwachstelle besteht, bekannt sind. Da eine Zero-Day-Schwachstelle weder der Öffentlichkeit noch den Entwicklern bekannt ist, sind keine Patches verfügbar.
Nach Untersuchungen von GPZ hätte die Hälfte der 18 Zero-Day-Schwachstellen, die von Hackern im letzten Jahr ausgenutzt wurden erstes Halbjahr 2022 bevor ein Software-Update zur Verfügung gestellt wurde, hätte verhindert werden können, wenn die Software-Hersteller gründlichere Tests durchgeführt und umfassendere Patches erstellt hätten. Überraschenderweise handelte es sich bei mindestens vier der diesjährigen Zero-Day-Schwachstellen um Varianten aus dem Jahr 2021.
Aber was genau ist eine Zero-Day-Schwachstelle? Das werden Sie in diesem Leitfaden erfahren. Um die Definition vollständig zu verstehen, müssen wir jedoch zunächst einige andere Dinge definieren.
Was ist eine Zero-Day-Sicherheitslücke?
Ein Zero-Day-Exploit ist eine Sicherheitslücke, die noch nicht öffentlich bekannt gegeben oder behoben wurde. Der Begriff bezieht sich sowohl auf den Exploit selbst als auch auf das Codepaket, das den Exploit und die zugehörigen Tools enthält.
Angreifer nutzen häufig Zero-Day-Exploits zur Verbreitung von Malware auf Systemen und Netzwerken einzusetzen, die noch nicht gepatcht wurden. Verteidiger können sie auch für Penetrationstests nutzen, um Schwachstellen im Netzwerk aufzuspüren.
Wenn Sie sich über Zero-Day-Exploits informieren, könnten Sie die Begriffe "Zero-Day-Schwachstellen", "Zero-Day-Exploits" oder "Zero-Day-Angriffe" hören. Diese Begriffe haben einen entscheidenden Unterschied:
- Die Art und Weise, wie Hacker Software angreifen, wird als "Zero-Day-Exploit" bezeichnet.
- Der Fehler in Ihrem System wird als "Zero-Day-Schwachstelle" bezeichnet.
- "Zero-Day-Angriffe" sind das, was Hacker tun, wenn sie eine Sicherheitslücke ausnutzen, um in Ihr System einzudringen.
Wenn von Zero-Day-Schwachstellen die Rede ist, ist das Wort "unentdeckt" von entscheidender Bedeutung, denn um als "Zero-Day-Schwachstelle" bezeichnet zu werden, muss eine Schwachstelle den Systementwicklern unbekannt sein. Wenn eine Sicherheitslücke entdeckt und behoben wird, gilt sie nicht mehr als "Zero-Day-Schwachstelle".
Zero-Day-Exploits können von Angreifern auf verschiedene Weise genutzt werden, unter anderem:
- Ausnutzung ungepatchter Systeme (d. h. ohne Anwendung von Sicherheitsupdates), um Malware zu installieren oder die Kontrolle über Computer aus der Ferne zu übernehmen;
- Durchführung von Phishing-Kampagnen (d. h. Versenden von E-Mails, die den Empfänger dazu verleiten sollen, auf Links oder Anhänge zu klicken) mit bösartigen Anhängen oder Links, die zu Website-Hosting-Exploits führen; oder
- Durchführung von Denial-of-Service-Angriffen (d. h. Überflutung von Servern mit Anfragen, so dass legitime Anfragen nicht durchkommen).
Welche einzigartigen Merkmale von Zero-Day-Exploits machen sie so gefährlich?
Es gibt zwei Kategorien von Zero-Day-Schwachstellen:
Unentdeckt: Der Softwarehersteller hat noch nichts von der Schwachstelle erfahren. Dieser Typ ist extrem selten, da die meisten großen Unternehmen über engagierte Teams verfügen, die Vollzeit daran arbeiten, die Schwachstellen ihrer Software zu finden und zu beheben, bevor Hacker oder böswillige Benutzer sie entdecken.
Unentdeckt: Die Schwachstelle wurde vom Softwareentwickler gefunden und behoben - aber niemand hat sie bisher gemeldet, weil er keinen Fehler an seinem System bemerkt hat. Diese Schwachstelle kann sehr wertvoll sein, wenn Sie einen Angriff auf das System einer anderen Person planen und nicht wollen, dass diese vor der Ausführung des Angriffs weiß, was vor sich geht!
Zero-Day-Exploits sind besonders riskant, da sie eine höhere Erfolgswahrscheinlichkeit haben als Angriffe auf bekannte Schwachstellen. Wenn eine Schwachstelle am "Day Zero" bekannt wird, müssen die Unternehmen sie noch patchen, wodurch ein Angriff denkbar wird.
Die Tatsache, dass bestimmte raffinierte Cyberkriminelle Zero-Day-Exploits strategisch einsetzen, macht sie noch viel riskanter. Diese Unternehmen speichern Zero-Day-Exploits für hochwertige Ziele, darunter Regierungsbehörden, Finanzinstitute und Gesundheitseinrichtungen. Dies kann die Dauer des Angriffs verlängern und die Wahrscheinlichkeit verringern, dass das Opfer eine Sicherheitslücke findet.
Die Benutzer müssen ihre Systeme auch nach der Erstellung eines Patches weiter aktualisieren. Tun sie dies nicht, können Angreifer immer noch einen Zero-Day-Exploit nutzen, bis das System gepatcht ist.
Wie identifiziert man eine Zero-Day-Schwachstelle?
Die gängigste Methode, eine Zero-Day-Schwachstelle zu identifizieren, ist die Verwendung eines Scanners wie Nessus oder OpenVAS. Diese Tools scannen Ihren Computer anhand von Signaturen (bekannte schädliche Dateien) auf Sicherheitslücken. Wenn eine Signatur übereinstimmt, kann der Scanner Ihnen mitteilen, welche Datei gefunden wurde.
Bei dieser Art des Scannens werden jedoch oft viele Schwachstellen übersehen, da Signaturen nur manchmal verfügbar sind oder häufig genug aktualisiert werden, um alle neuen Bedrohungen zu erfassen, sobald sie auftauchen.
Eine weitere Methode zur Identifizierung von Zero-Days ist das Reverse Engineering von Software-Binärdateien (ausführbare Dateien). Diese Methode kann sehr schwierig sein, ist aber in der Regel für die meisten Menschen unnötig, da viele kostenlose Options-Scanner im Internet keine technischen Kenntnisse oder Erfahrungen erfordern, um sie effektiv zu nutzen.
Beispiele für Zero-Day-Schwachstellen
Einige Beispiele für Zero-Day-Schwachstellen sind:
Heartbleed - Diese 2014 entdeckte Sicherheitslücke ermöglichte es Angreifern, Informationen von Servern zu extrahieren, die OpenSSL-Verschlüsselungsbibliotheken verwenden. Die Sicherheitslücke wurde 2011 eingeführt, aber erst zwei Jahre später entdeckt, als Forscher feststellten, dass bestimmte Versionen von OpenSSL für von Angreifern gesendete Heartbeats anfällig waren. Hacker konnten dann private Schlüssel von Servern erhalten, die diese Verschlüsselungsbibliothek verwenden, und so die von Nutzern übertragenen Daten entschlüsseln.
Shellshock - Diese Sicherheitslücke wurde 2014 entdeckt und ermöglichte Angreifern den Zugriff auf Systeme, auf denen ein für Angriffe anfälliges Betriebssystem läuft, über die Bash-Shell-Umgebung. Shellshock betrifft alle Linux-Distributionen und Mac OS X 10.4 und frühere Versionen. Obwohl für diese Betriebssysteme bereits Patches veröffentlicht wurden, sind einige Geräte noch nicht gegen diese Schwachstelle geschützt.
Equifax-Datenpanne - Die Datenpanne bei Equifax war ein großer Cyberangriff im Jahr 2017. Der Angriff wurde von einer unbekannten Gruppe von Hackern verübt, die in die Website von Equifax eindrangen und die persönlichen Daten von etwa 145 Millionen Kunden stahlen, darunter Sozialversicherungsnummern und Geburtsdaten.
WannaCry Ransomware - WannaCry ist ein Ransomware-Virus, der auf Microsoft Windows-Betriebssysteme abzielt. Er verschlüsselt die Dateien der Benutzer und verlangt eine Lösegeldzahlung in Bitcoin, um sie zu entschlüsseln. Er verbreitet sich über Netzwerke mithilfe von EternalBlue. Ein Windows-Exploit wurde im April 2017 von der NSA veröffentlicht. Der Wurm hat seit seiner Veröffentlichung am 12. Mai 2017 weltweit über 300.000 Computer befallen.
Malware-Angriffe auf Krankenhäuser - Malware-Angriffe sind in den letzten Jahren immer häufiger geworden, da Hacker aus persönlichem Gewinnstreben oder aus politischen Gründen Gesundheitseinrichtungen angreifen. Bei einem solchen Angriff verschafften sich Hacker über eine von der Krankenhausverwaltung gesendete E-Mail Zugang zu Patientenakten des Hollywood Presbyterian Medical Center. Phishing-E-Mails die von der Verwaltung des Krankenhauses versandt wurden.
Letzte Worte
Eine Zero-Day-Schwachstelle ist ein Softwarefehler, der zwar erkannt, aber noch nicht an den Softwarehersteller weitergegeben wurde. Sie ist "null Tage" davon entfernt, bekannt zu sein, zumindest in der Öffentlichkeit. Mit anderen Worten: Es handelt sich um eine Sicherheitslücke in freier Wildbahn, von der niemand etwas weiß - außer demjenigen, der sie zuerst entdeckt und gemeldet hat.
