Zero Day Exploit: Was ist das und wie kann ich mich schรผtzen?

Zero Day Exploits nutzen Sicherheitslรผcken aus, fรผr die bislang kein Patch existiert. Damit zรคhlen sie zu den gefรคhrlichsten Schwachstellen in der IT-Welt. Hersteller und Anwender erfahren erst von Zero Day Lรผcken, wenn diese bereits aktiv missbraucht werden (Zero Day Angriff). Entsprechend schnell muss dann gehandelt werden, um Systeme gegen die neu entdeckte Schwachstelle abzusichern.

Was ist ein Zero Day Exploit?

Unter einem Zero Day Exploit versteht man in der IT ein Angriffsmuster, welches eine Schwachstelle ausnutzt, die dem Hersteller der jeweiligen Applikation noch unbekannt ist. Anders als bei Sicherheitslรผcken, die Forscher oder Security-Firmen einem Entwickler melden, erfahren Hersteller erst dann von einem Zero Day Exploit, wenn dieser bereits aktiv fรผr Angriffe genutzt wird. Hersteller haben also null Tage (Zero Days) Zeit zur Vorbereitung und mรผssen in kรผrzester Zeit ein Sicherheitsupdate herausgeben.

Die Tatsache, dass es zum Zeitpunkt der Verรถffentlichung noch keinen Schutz gegen die neu gefundene Sicherheitslรผcke gibt, macht neu entdeckte Zero Day Schwachstellen zu einer absoluten Schreckensnachricht fรผr IT-Teams, CIOs und CISOs. Betroffene Organisationen sollten sich nicht nur genau รผber neue Schwachstellen informieren, sondern das Risiko fรผr die eigene IT so gut es geht reduzieren. Etwa, in dem Systeme mit ungepatchten Schwachstellen vorrรผbergehend auรŸer Betrieb genommen werden.

Zero Day: Unterschied zwischen Schwachstelle, Exploit & Angriff

Rund um das Thema Zero Day gilt es einige zentrale Begriffe zu unterscheiden, die vor allem den zeitlichen Verlauf eines neu entdeckten Sicherheitsfehlers betreffen:

  • Als Zero Day Schwachstelle bezeichnet man eine neue entdeckte Sicherheitslรผcke, die die betroffene Applikation theoretisch angreifbar macht.

  • Ein Zero Day Exploit beschreibt eine konkrete Methode bzw. ein Verfahren, um die zuvor beschriebene Schwachstelle fรผr eine Attacke zu nutzen.

  • Als Zero Day Angriff wird ein spezifischer Angriff auf Basis des zuvor entwickelten Exploits bezeichnet, etwa die Attacke auf ein bestimmtes Unternehmen.

Klassifizierung von Zero Day Schwachstellen

Fรผr die einheitliche Dokumentation und Klassifizierung von IT-Schwachstellen werden diese nach dem CVE Referenz-System eingeteilt (Common Vulnerabilities & Exposures). Neben einer eindeutigen Bezeichnung, welche die Jahreszahl der Entdeckung sowie eine fortlaufende Nummerierung umfasst, erhalten Schwachstellen dabei auch eine Bewertung ihres AusmaรŸes auf einer Skala von 0 bis 10 (CVSS Score).

In die Bewertung von Schwachstellen flieรŸen mehrere Faktoren ein, darunter wie zugรคnglich der Schwachpunkt ist (lokal, รผber angrenzende Netzwerke, รผber das Internet), wie komplex die Ausfรผhrung des Exploits ist, wie viele Kontrollen Angreifer im Rahmen der Authentifizierung und Autorisierung รผberwinden mรผssen und wie stark sich die Sicherheitslรผcke auf die Integritรคt, Verfรผgbarkeit und Vertraulichkeit von Daten auswirkt. Sicherheitslรผcken mit einem CVSS-Score von 9 oder hรถher zรคhlen als kritische Schwachstellen.

Beispiele fรผr Zero Day Exploits

Zero Day Exploits kรถnnen die unterschiedlichsten Systeme betreffen und sich Schwachstellen in Cloud-Diensten, SaaS-Plattformen, lokal installierten Programmen oder sogar der Firmware von Gerรคten zunutze machen. Die Definition einer Zero Day Schwachstelle ist die Tatsache, dass Angreifer die Sicherheitslรผcke vor dem Hersteller entdecken. Programmfehler, von denen ein Entwickler noch nichts weiรŸ, mรผssen nicht zwangslรคufig gefรคhrlich sein. Allerdings sorgen Zero Days immer dann fรผr Schlagzeilen, wenn dadurch eine Vielzahl an Systemen bedroht ist.

Beispiele fรผr prominente Zero Day Exploits bzw. damit verbundene Angriffswellen sind etwa:

  • 1

    Outlook NTLM Zero Day: Ein aktuelles Beispiel fรผr die Gefahren von Zero Days ist die Schwachstelle CVE-2023-23397 in Outlook. Angreifer, die eine entsprechend manipulierte Kalender-Einladung an ihr Ziel schicken, kรถnnen den E-Mail-Server dazu bringen, den NTLM-Hash des Benutzers an sie zu รผbermitteln. Dieser wiederum kann fรผr unerlaubte Anmeldungen missbraucht werden. Besonders perfide: Es ist keine Interaktion notwendig, damit der Angriff funktioniert (Zero-Klick-Angriff). Das Opfer muss die Anfrage also weder รถffnen noch beantworten. Inzwischen hat Microsoft die Schwachstelle gepatcht und ein Kontroll-Skript verรถffentlicht, mit dem Organisationen prรผfen kรถnnen, ob sie Ziel eines solchen Angriffs gewesen sind.

  • 2

    GoAnywhere Zero Day: Eine Sicherheitslรผcke in der Lizenzabfrage des File-Sharing-Dienstes GoAnywhere MFT von Fortra (CVE-2023-0669) ermรถglichte es Angreifern, eigenen Code auf dem Zielgerรคt auszufรผhren und somit Schadsoftware einzuschleusen. Bis zur Verรถffentlichung des Sicherheitsupdates fรผhrte diese Schwachstelle zu einer Welle an Angriffen. Insbesondere die Ransomware-Gang Clop nutzte den Exploit aktiv aus. Rund 130 Firmen wurden Opfer der Bande.

  • 3

    Log4j Zero Day: Bei Log4j handelt es sich um ein Open-Source-Framework fรผr die Protokollierung von Systemereignissen (Logging), welches in zahlreichen Anwendungen verwendet wird. Durch die Sicherheitslรผcke CVE-2021-44228 war es mรถglich, den Inhalt von Log-Eintrรคgen zu manipulieren und so eigenen Code auszufรผhren (Remote Code Execution). Aufgrund der breiten Nutzung der Bibliothek waren viele Dienste und Programme von der Sicherheitslรผcke betroffen, zahlreiche Angriffe waren die Folge.

  • 4

    EternalBlue Zero Day: CVE-2017-0144 bzw. EternalBlue ist wohl einer der langlebigsten Zero Days der Geschichte. Der zugrundeliegende Fehler in der Verarbeitung des Server Message Blocks in Windows-Systemen wurde von der NSA entdeckt und ca. fรผnf Jahre lang geheim gehalten und fรผr eigene Zwecke genutzt. Informationen รผber den Exploit sickerten jedoch durch. 2017 informierte die Behรถrde schlieรŸlich Microsoft, damit diese die Lรผcke schlieรŸen kรถnnen. Im gleichen Jahr wurde die Schwachstelle allerdings fรผr zahlreiche Angriffe mit dem Erpressungstrojaner WannaCry auf noch nicht gepatchte Systeme genutzt.

  • 5

    Heartbleed Zero Day: Durch einen Fehler in der OpenSSL-Bibliothek fรผr verschlรผsselte Verbindungen konnten Angreifer Webserver auf einfachem Weg dazu bringen, sensible Daten wie Passwรถrter oder verschlรผsselte Nachrichten an sie zu รผbermitteln. Hintergrund von Heartbleed (CVE-2014-0160) war die fehlende Validierung der regelmรครŸigen Verbindungsabfrage zwischen Besucher und Server. Statt einer einfachen Statusmeldung erhielten Angreifer als Antwort so Daten aus dem Arbeitsspeicher des Servers. Nach der Meldung des Fehlers am 7. April 2014 wurde noch am selben Tag ein Patch verรถffentlicht. Aus gutem Grund: Durch Heartbleed waren fast alle Websites anfรคllig fรผr Datendiebstahl.

Was macht Zero Day Exploits so gefรคhrlich?

Sicherheitslรผcken in Software sind leider keine Seltenheit. Sowohl Hacker und Cyberkriminelle, als auch Security-Experten, Sicherheitsfirmen und Software-Hersteller suchen laufend nach gefรคhrlichen Fehlern in Software- und Hardware-Produkten. Meist gelingt es Forschern, Entwicklern und ethischen White Hat Hackern, Schwachstellen zu finden und auszumerzen, bevor diese zum Problem werden.

Dabei ist es รผblich, dass Security-Spezialisten zuerst den Hersteller informieren, bevor sie gefundene Sicherheitslรผcken รถffentlich machen. Dieses Vorgehen wurde von dem prominenten Hacker Rain Forest Puppy etabliert und gibt der Entwicklungsabteilung ausreichend Zeit, einen Patch fertigzustellen, bevor die Schwachstelle allgemein bekannt wird. Denn in dem Moment, wo das Unternehmen Anwender informiert, erfahren zwangslรคufig auch Kriminelle von der Lรผcke. Zu diesem Zeitpunkt sollte das Problem also schon behoben und der Patch mรถglichst breit ausgerollt sein.

Finden Hacker die neue Schwachstelle zuerst, sind sie im zeitlichen Vorteil und kรถnnen Exploits entwickeln und Angriffe starten, bevor die Sicherheitslรผcke geschlossen wird. Der Software-Hersteller erfรคhrt erst von dem Problem, wenn Anwender den Angriff beobachten oder Kriminelle die Strategie auf einschlรคgigen Kanรคlen wie Hacker-Foren teilen. Und genau hier liegt das Problem: Nicht nur gibt es zum Tag Null noch keinen Schutz gegen den Exploit, die Entwicklung eines Patches kann noch mehrere Tage in Anspruch nehmen.

Woher kommt der Begriff Zero Day?

Fรผr den Ursprung des Begriffs Zero Day in der IT-Sicherheit gibt es mehrere Theorien: Im Allgemeinen wird der Name mit der mangelnden Vorlaufzeit des neu entdeckten Problems in Verbindung gebracht. Also der Tatsache, dass Entwickler null Tage Zeit zur Vorbereitung hatten. Oder aber mit der Entwicklung von Exploits und dem Start erster Cyberangriffe an einem hypothetischen Tag Null vor der Entdeckung durch den Software-Entwickler (Tag Eins).

Eine andere Erklรคrung bringt den Wortursprung mit der Warez-Szene bzw. Internetpiraterie in Verbindung. Hacker, die Software hier illegal teilten, gaben dabei auch an, wie viele Tage seit dem offizielle Release vergangen sind. Je niedriger die Zahl, desto schneller wurde die Software also geknackt: ein Status-Symbol fรผr erfolgreiche Cracker. Als Zero Day Software bezeichnete man dabei Programme, die noch vor offiziellem Release verfรผgbar gemacht wurden, also vom Server des Herstellers gestohlen wurden. Entsprechend die Verbindung von Zero Day mit dem unerlaubten Eindringen in Systeme.

Lebenszyklus eines Zero Day Exploits

Von der Entdeckung einer neuen Schwachstelle bis zum SchlieรŸen der Lรผcke durch ein Sicherheitsupdate lรคsst sich der Lebenszyklus von Sicherheitslรผcken in mehrere Phasen unterteilen. Es beginnt mit der Entdeckung der Schwachstelle. Je nachdem, wer den Fehler findet, gestaltet sich das Bekanntwerden des Fehlers unterschiedlich.

Entdeckt ein Mitarbeiter oder Security-Spezialist das Problem, kann der Hersteller eine Lรถsung dafรผr entwickeln und ein Sicherheitsupdate vorbereiten. Sind Cyberkriminelle vor dem Entwickler รผber das Problem im Bilde, spricht man von einer Zero Day Schwachstelle. Sie sind in diesem Fall im Vorteil und kรถnnen betroffene Systeme infiltrieren, bevor der Entwickler die Lรผcke schlieรŸt oder รผberhaupt davon erfรคhrt.

Haben Entwickler schlieรŸlich eine Lรถsung fรผr das Problem gefunden, liegt der nรคchste Schritt in der Verรถffentlichung eines Updates. Doch das bedeutet nicht zwangslรคufig das Ende fรผr eine Sicherheitslรผcke. Entscheidend ist die Verbreitung des Updates. Je nach Art der entdeckten Schwachstelle kรถnnen dutzende Programme, hunderte Dienste oder Millionen von Gerรคten betroffen sein. Erst wenn alle gefรคhrdeten Systeme gepatcht wurden, ist die Sicherheitslรผcke tatsรคchlich geschlossen.

รœbrigens: Noch mehr Sicherheitstipps finden Sie in unserem Beitrag zum Thema Active Directory Sicherheit.

Firmenlaptop wird zum Ziel eines Hacker-Angriffs wegen ungepatchtem Sicherheitsproblem.
Zero Day Angriffe erfolgreich stoppen? Wir verraten die wichtigsten Schritte. Adobe Stock, (c) Montri

Schutz vor Zero Day Exploits

Es liegt in der Natur von Zero Day Exploits, dass es noch keine dauerhafte Lรถsung in Form eines Sicherheitsupdates gibt, mit dem sich Organisationen schรผtzen kรถnnen. Dennoch kรถnnen Betroffene viel dazu beitragen, das Risiko fรผr Zero Day Angriffe wie z.B. Attacken mit Ransomware zu minimieren. Hier finden Sie die wichtigsten Schritte zum Schutz vor Zero Day Attacken zusammengefasst.

1

Schnellstmรถglich patchen

Es liegt auf der Hand, aber sobald ein Patch fรผr eine Zero Day Lรผcke verfรผgbar ist, muss dieser umgehend auf allen gefรคhrdeten Gerรคten installiert werden. In der Praxis kommt es leider immer wieder vor, dass bekannte Schwachstellen auch Monate oder Jahre spรคter erfolgreich ausgenutzt werden, weil der verfรผgbare Patch nie installiert wurde. Um kritische Sicherheitsupdates schnell und vollstรคndig auszurollen, sollten Organisationen ein zentrales und geregeltes Patch-Management pflegen.

2

Workarounds nutzen

Bis ein offizieller Patch verfรผgbar ist, braucht es manchmal einige Zeit. Als kurzfristige Lรถsung verรถffentlichen Software-Hersteller daher oft Tipps, wie Organisationen die Schwachstelle behelfsmรครŸig schlieรŸen kรถnnen, etwa durch Skripten, das Deaktivieren von Features, bestimmte Einstellungen des Betriebssystems oder รคhnliches. Es empfiehlt sich also, Meldungen und Updates des Herstellers genau zu verfolgen, um keine Tipps zur schnellen Abhilfe zu verpassen.

3

Legacy Systeme isolieren

Aufgrund von Hardware-Einschrรคnkungen oder Problemen mit der Kompatibilitรคt verwendeter Dienste ist es in manchen Fรคllen nicht mรถglich, Anwendungen auf die neueste Version zu bringen. Auch wenn dies eine betriebliche Notwendigkeit darstellen kann, sollten sich Organisationen bewusst sein, dass dies ein groรŸes Sicherheitsrisiko mit sich bringt. Ungepatchte Systeme mรผssen auf anderem Weg geschรผtzt vor Angriffen geschรผtzt werden, etwa durch das Isolieren der betroffenen Gerรคte, strikte Zugriffskontrollen oder Application Whitelisting.

4

Angriffserkennung einsetzen

Organisationen, deren Netzwerk durch eine Zero Day Schwachstelle gefรคhrdet ist, kรถnnen durch Systeme fรผr die automatische Angriffserkennung verdรคchtige Aktivitรคt identifizieren und so schneller reagieren, falls es zu einer Attacke kommt. Im Ernstfall lassen sich so Schaden und AusmaรŸ von Angriffen deutlich reduzieren. Um Anomalien verlรคsslich zu erkennen, mรผssen Betriebe dazu auch ein klares Bild von normaler Netzwerkaktivitรคt und erlaubten Zugriffen haben.

5

Best Practices befolgen

Wer Best Practices der Informationssicherheit befolgt, ist zwar nicht vor Zero Day Angriffen gefeit, erholt sich jedoch im schlimmsten Fall schneller von einer Attacke. Beispielsweise, weil kritische Daten durch ein aktuelles Backup abgesichert sind oder ein gut getesteter Notfallplan die Wiederherstellung der eigenen IT erleichtert.

6

Zugriffsrechte einschrรคnken

Ein Cyberangriff lรคuft in mehreren Schritten ab. Zero Day Exploits helfen Angreifern in der Regel bei dem ersten Schritt: Dem initialen Zugang zu einem System, etwa durch die Kompromittierung eines Benutzerkontos. In weiterer Folge beginnt die laterale Ausbreitung, also das Eindringen in weitere Bereiche des Netzwerks.

Wer durch sorgfรคltige Berechtigungsverwaltung gewรคhrleistet, dass Benutzer nur Zugriff auf eine mรถglichst kleine Menge notwendiger Daten und Systeme erhalten, kann die Ausbreitung stoppen und so den Schaden durch einen Zero Day Angriff minimieren. Least Privilege Zugriff, die sparsame Vergabe von Rechten fรผr zwingend erforderliche Aufgaben, zรคhlt nicht umsonst zu den Grundlagen moderner Sicherheitskonzepte wie der Zero Trust Architektur.

Um die Einhaltung von Least Privilege Zugriff in der Praxis sicherzustellen, mรผssen Organisationen nicht nur bei der erstmaligen Provisionierung von Benutzern darauf achten, dass diese lediglich fรผr ihre Geschรคftsrolle notwendige Rechte erhalten. Auch wenn sich ihre Aufgaben รคndern, etwa in Folge einer Befรถrderung oder eines Abteilungswechsels, mรผssen nicht mehr benรถtigte Zugriffsrechte entfernt werden. Dazu ist die regelmรครŸige Kontrolle von Rechten in Form der sogenannten Rezertifizierung notwendig.

Laufende Anpassungen, regelmรครŸige Kontrollen und das bei hunderten von Konten in dutzenden Systemen: wie soll das gelingen? Wer die sichere Verwaltung von Zugriffsrechten gewรคhrleisten will, ohne den Verwaltungsaufwand ins Unermessliche zu steigern, braucht tenfold โ€“ eine automatische Software-Lรถsung fรผr das Identity und Access Management. tenfold sorgt fรผr die korrekte Vergabe von Rechten, passt diese automatisch an jede personelle Verรคnderung an und unterstรผtzt Sie mit รผbersichtlichen Checklisten bei der Rezertifizierung. รœberzeugen Sie sich selbst bei einem kostenlosen Test von den Vorteilen von tenfold.

tenfold Demo Video

Sensible Daten vor ungewollten Zugriffen schรผtzen?

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.