Immer wieder werden Zero-Day-Schwachstellen bzw. Sicherheitslücken in Systemen gefunden, die kriminellen Hackergruppen ungeahnte Möglichkeiten bieten. Die Zeit spielt beim Schließen der Lücke eine große Rolle, da die Angriffstechniken der Hacker schnell im Dark Web für ein entsprechendes Entgelt zur Nutzung bereitgestellt werden.
Der Inhalt im Überblick
- Definition: Was ist eine Zero-Day-Schwachstelle?
- Abgrenzung Zero-Day-Exploit und Zero-Day-Angriff
- Auf wen zielen die Angreifer ab?
- Zero-Day-Sicherheitslücken als gewinnbringendes Geschäft
- Bedrohung: Immer mehr aufgedeckte Zero-Day-Attacken
- Schutz vor neuesten IT-Bedrohungen sollte immer oberste Priorität haben
Definition: Was ist eine Zero-Day-Schwachstelle?
Als Zero-Day-Schwachstelle oder auch Sicherheitslücke wird eine Computer-Software-Schwachstelle bezeichnet, die in den meisten Fällen dem Hersteller erst bekannt wird, nachdem Hacker diese ausgenutzt haben.
Ursprünglich bezog sich der Begriff „Zero Day“ auf den Tag, an dem die Software veröffentlicht wurde. Als sich das Ausnutzen von Schwachstellen in einer Software häufte, wurde der Begriff auf die Tage bezogen, die der Hersteller Zeit hat, diese Lücke zu „patchen“, bis sie kriminell ausgenutzt wird, nämlich 0 Tage.
Wenn eine solche Sicherheitslücke bekannt wird, raten Fachkundige auf Behelfslösungen zu setzen, da es meist einige Zeit dauert bis dieser Fehler gepatcht ist.
Lebenszyklus einer Sicherheitslücke:
- Schwachstelle wird durch Dritte entdeckt und untersucht
- Hersteller erlangt Kenntnis über die Schwachstelle auf einem der folgenden Wege:
- Entdecker veröffentlicht sämtliche Informationen über die Schwachstelle (Full Disclosure)
- Entdecker informiert direkt den Hersteller und verzichtet auf eine detaillierte Veröffentlichung (Coordinated Disclosure)
- Schwachstelle wird für Angriffe ausgenutzt und wird so entdeckt (Zero-Day-Exploit)
- Hersteller wird indirekt über die Schwachstelle informiert (Schwachstellen Broker)
- Hersteller beginnt mit dem Entwickeln eines Patches
- Hersteller veröffentlicht Schwachstellenwarnung (Advisory)
- Hersteller stellt Patch mit entsprechender Beschreibung (Bulletin) bereit.
- User können Software Patch installieren und so die Sicherheitslücke schließen
Abgrenzung Zero-Day-Exploit und Zero-Day-Angriff
Zero-Day-Exploit (Ausnutzung) ist die Methode, die Angreifer dazu verwenden um eine o.g Schwachstelle auszunutzen.
Zero-Day-Angriff ist der eigentliche Angriff auf die Schwachstelle, in dem die Methoden genutzt wird um Schaden im System anzurichten oder auch Daten aus einem System zu stehlen.
Kriminelle greifen nicht immer sofort an, wenn sie eine Schwachstelle entdecken. Manchmal warten diese auch auf einen bestimmten günstigen Moment um zuzuschlagen. Oft sind die Angriffsziele gezielt ausgesuchte große Organisationen, Behörden oder hochrangige Einzelpersonen. Dort erhoffen diese sich den besten Gewinn mit ihrer Cyberattacke.
Auf der anderen Seite gibt es selbstverständlich auch viele Zero-Day-Angriffe, die nicht zielgerichtet sind, sondern an sich an „normale“ User richten. Diese Angriffe bewegen sich dann meist im Bereich anfälliger Systeme, Betriebssysteme oder auch über Internet Browser. (Beispiel Google Chrome Fehler in der JavaScript-Engine V8, 2021)
Auf wen zielen die Angreifer ab?
Regierungsbehörden, große Unternehmen und Einzelpersonen zählen zu den beliebtesten Zielen von Hacker(gruppen), da sich hier am meisten Gewinn erhofft wird. Doch auch Privatanwender, deren System nicht gut genug geschützt oder nicht auf dem neuesten Stand ist, sind Ziele für die Gruppen.
Mit einem geschützten System können jedoch auch Privatanwender nicht immer verhindern, dass Hacker sich ihrer Systeme durch Zero-Day-Schwachstellen bemächtigen. Im Jahr 2020 fanden Hacker einen Weg, um über die Videokonferenzplattform Zoom, Fernzugriff auf den PC eines Users zu erlangen, wenn dieser eine veraltete Windows Version nutzte. Falls dieser dann noch Admin Rechte besaß, konnte der Hacker sich mit diesen Rechten durch das komplette System des Users bewegen und auch Daten zu seinen Gunsten abfließen lassen.
Auf der anderen Seite nutzen auch staatliche Einrichtungen gelegentlich Zero-Day-Sicherheitslücken. Diese werden in diesem Fall dazu genutzt um Personen, Organisationen oder Ländern anzugreifen, die die nationale Sicherheit bedrohen.
Zero-Day-Sicherheitslücken als gewinnbringendes Geschäft
Seit Jahren wächst der Markt rund um das Thema „Zero-Day“. Auf der einen Seite besteht ein Schwarzmarkt, auf dem teilweise Schwachstellen für Millionenbeträge zum Verkauf angeboten werden. Aber auf der anderen Seite hat sich auch ein großer, hochprofessioneller Markt gebildet, auf dem verschiedene Parteien Sicherheitsforscher bezahlen, um Schwachstellen zu finden.
Es haben sich im Laufe der Zeit zwei Gruppen in diesem Markt gebildet. Auf der Verkäuferseite stehen die Hacker, die in der Lage sind exklusive Zero-Day-Lücken zu finden und diese dann zum Verkauf anbieten. Meist verkaufen sie ihre Informationen an den Meistbietenden. Dies können auf der Käuferseite Regierungsbehörden, Privatfirmen aber auch Cyberkriminelle sein.
Die Sicherheitsforscher, welche meist Interesse daran haben Schwachstellen zu schließen und meist uneigennütziger handeln als Cyberkriminelle, handeln außerhalb dieses Marktes.
Bedrohung: Immer mehr aufgedeckte Zero-Day-Attacken
Es ist kein Geheimnis, dass sich Internetkriminalität in den letzten Jahren gehäuft hat, aber auch die Anzahl an Zero-Day-Attacken steigt an. Laut einem Bericht des US-amerikanischen IT-Sicherheitsunternehmens „Mandiant“ ist die Anzahl von Zero-Day-Sicherheitslücken von 32 registrierten Schwachstellen im Jahr 2019 auf 80 Schwachstellen in 2021 gestiegen.
Die wohl bekanntesten Zero-Day-Attacken der näheren Vergangenheit sind folgende:
- log4j (Sicherheitslücke in der log4j Bibliothek)
- Hafnium (Sicherheitslücke Microsoft Exchange Server 2013, 2016 und 2019)
- Follina (Sicherheitslücke im Microsoft Standardtool)
Die genannten Sicherheitslücken wurden offiziell als geschlossen bewertet, aber Schwachstellen in Bezug auf Microsoft Exchange bestehen zu Teilen noch heute. Laut aktuellen Berichten im Microsoft Response Center bestehen weiterhin zwei große Lücken in Exchange:
- CVE-2022-41040 (Server-Side Request Forgery Schwachstelle)
- CVE-2022-41082 (Remotecodeausführung, wenn der Angreifer Zugriff auf Powershell hat)
Schutz vor neuesten IT-Bedrohungen sollte immer oberste Priorität haben
Ein Unternehmen ist nie in Gänze schutzlos gegen Cyberangriffe. Es bestehen jedoch Möglichkeiten, das Risiko angegriffen zu werden, zu verringern. Hierzu zählen hauptsächlich:
- Antivirenlösungen installieren bzw. aktuell halten
- Betriebssystem sollte auf dem neuesten Stand sein
- Achtsamkeit bei Nutzung von Open Source Produkten
- Einsatz hoher Sicherheitsstandards bei Verwendung von IoT
- Nur Anwendungen auf dem System installieren, welche auch unbedingt benötigt werden
- Firewall(s) verwenden
- Regelmäßige Schulungen der Mitarbeitenden über IT-Sicherheitsrichtlinien
Abwehr solcher Angriffe
Da Schwachstellen in diesem Bereich im Vorhinein nicht bekannt sind, ist es nicht möglich sich explizit auf eine bestimmte Sicherheitslücke zu schützen. Ergänzend zu den o.g etwas allgemeineren Methoden zum Schutz eines Systems, sollten auch noch die folgenden technischen Maßnahmen umgesetzt werden:
- Datenverkehr zwischen Servern in Form von Netzwerksegmentierung isolieren und so kleinere Angriffsfläche bieten
- IDS und IPS Systeme einrichten und optimal konfigurieren
- Unberechtigte Netzwerkzugriffe durch NAC (Network Access Control) vermeiden
- Zero-Day-Patches schnellstmöglich im System installieren (Patch-Management)
- Schwachstellenscans in regelmäßigen Intervallen durchführen oder bei verdächtigen Aktivitäten im Netzwerk
Wie schon angesprochen sind Zero-Day-Angriffe sehr schwer bis unmöglich abzuwehren. Es können jedoch viele Schritte eingeleitet werden, um das eigene System so zu konfigurieren, dass es Angreifern schwerer fällt in dieses einzudringen.
