Sicherheitslücken in Software- und Hardwareprodukten stellen ein gängiges Problem dar, das durch die Digitalisierung aller Lebensbereiche immer mehr an Bedeutung gewinnt und kriminellen Hackern Tür und Tor öffnen kann.
Zero Day - Definition
Dabei kommt den sogenannten Zero-Day-Schwachstellen besondere Bedeutung zu, da für diese Art der Sicherheitslücken (noch) keine Patches zur Verfügung stehen. Die Bezeichnung "Zero Day" entstammt der Welt der Internetpiraterie: Wird ein Film oder ein Musikalbum am Erscheinungstag (oder bereits deutlich davor) illegal im Netz veröffentlicht, ist von "0day" die Rede.
Übertragen auf das Cybersecurity-Universum bezeichnet Zero Day eine Schwachstelle, die von Angreifern ausgenutzt wird, bevor der betreffende Anbieter (oder externe Security-Spezialisten) von deren Existenz weiß. Wenn eine Zero-Day-Angriffstechnik einmal innerhalb des cyberkriminellen Ökosystems zirkuliert - also beispielsweise im Darkweb zum Verkauf angeboten wird - tickt die Uhr für den Anbieter des Produkts: Es gilt, die Schwachstelle so schnell wie möglich zu schließen.
Zero Day - Lücke vs. Exploit vs. Attacke
Im Zusammenhang mit Zero Day gilt es, vor allem drei Begriffe zu differenzieren:
Eine Zero-Day-Sicherheitslücke bezeichnet eine bekannte Schwachstelle in Soft- oder Hardware, für die noch kein Patch existiert. Dabei kommt es stark darauf an, wem diese Lücke bekannt ist: White-Hat-Hacker beziehungsweise Security-Spezialisten, die eine solche Lücke entdecken, informieren im Regelfall den betroffenen Anbieter oder Hersteller, so dass ein Patch entwickelt werden kann, bevor sich das Wissen um die Schwachstelle im großen Stil verbreitet. Black-Hat- beziehungsweise kriminelle Hacker werden das Wissen um die Lücke für sich behalten, um genau das zu verhindern.
Um die Sicherheitslücke auszunutzen, müssen Angreifer einen Zero Day Exploit kreieren. Dabei handelt es sich um eine Penetrationsmethode oder eine Malware, die die Schwachstelle ausnutzt. Einige Angreifer nutzen Zero Day Exploits selbst, andere machen sich die Finger nicht selbst schmutzig und verkaufen sie lieber an den Höchstbietenden.
Cyberkriminelle, die über einen Exploit verfügen, können damit eine Zero-Day-Attacke initiieren. Die Sicherheitslücke zeigt also den Angriffsweg auf, während der Exploit das Werkzeug ist, um einen Zero-Day-Angriff ausführen zu können.
Zero Day Exploits - Gefahrenpotenzial
Zero Day Exploits stellen die ultimative Waffe für Cyberangriffe dar. Zwar werden jedes Jahr unzählige IT-Systeme auf der ganzen Welt gehackt, die traurige Wahrheit ist aber, dass die meisten dieser Angriffe bekannte Sicherheitslücken ausnutzen, für die Patches existieren. Erfolg haben die kriminellen Hacker wegen einer oft mangelhaften Security-Hygiene.
Eine Zero-Day-Schwachstelle lässt sich jedoch per definitionem nicht patchen. Wenn den potenziellen Opfern nicht bewusst ist, dass eine Gefahr besteht, ist die Wahrscheinlichkeit hoch, dass auch die nötige Aufmerksamkeit für verdächtige Aktivitäten nicht vorhanden ist. Die Angreifer werden folglich alles dafür tun, das Wissen um eine Zero-Day-Schwachstelle möglichst lange geheim zu halten und solange Exploits mit Vorliebe gegen hochwertige Ziele einzusetzen, um ihren Gewinn zu maximieren.
Wichtig ist dabei, dass es sich bei den Angreifern nicht nur um "gewöhnliche" Cyberkriminelle, sondern eventuell auch um staatlich finanzierte Hackergruppen handeln kann. Diverse Geheimdienste sind dafür bekannt, Informationen über Zero-Day-Sicherheitslücken zu sammeln, um diese für Spionagezwecke auszunutzen. Das prominenteste Beispiel für dieses Vorgehen ist der von der US-amerikanischen NSA generierte EternalBlue-Exploit, der eine Sicherheitslücke im SMB-Protokoll von Windows-Servern ausnutzte. Dieser Zero Day Exploit wurde von kriminellen Hackern gestohlen und anschließend für die weltumspannende Ransomware-Attacke mit WannaCry genutzt.
Wenn Unternehmen Kenntnis über eine Zero-Day-Schwachstelle erlangen, befinden sie sich häufig in einer Zwickmühle - insbesondere, wenn die Sicherheitslücke bei einem Betriebssystem oder einer anderen, vielfach genutzten Software auftritt: Entweder nehmen sie dann in Kauf, Opfer eines Zero-Day-Angriffs zu werden oder sie schalten geschäftskritische Systeme ab.
Zero-Day-Attacken - Abwehrmaßnahmen
Auch wenn Zero-Day-Sicherheitslücken, -Exploits und -Attacken extrem ernstzunehmende Bedrohungen darstellen, ist es nicht unmöglich, sich dagegen zu wappnen. Die Abwehrmaßnahmen lassen sich dabei in zwei Kategorien gliedern:
Was Unternehmen und ihre IT-Abteilungen tun können, um ihre Systeme zu schützen und
Was die Security Community tun kann, um IT-Umgebungen sicherer zu gestalten.
Im ersten Schritt stellen wir Ihnen die Abwehrmaßnahmen vor, die Unternehmen und Organisationen treffen können. Die Grundlage, um diese umzusetzen ist eine gute Cyber- beziehungsweise Security-Hygiene. Der Security-Anbieter Cybriant hat das Vorgehen in einem Blogbeitrag heruntergebrochen:
Tiefgehendes Defensiv-Training: Viele Data Breaches sind das Resultat einer Angriffskette, bei denen verschiedene Schwachstellen ausgenutzt werden. Diese Kette lässt sich nur unterbrechen, wenn sie Wert auf konsistentes Patch Management und Security Best Practices legen. Die Server in Ihrem Rechenzentrum könnten beispielsweise eine Zero-Day-Schwachstelle aufweisen. Wenn Ihre Firewall aber auf dem neuesten Stand ist und sich die Mitarbeiter nicht dazu verleiten lassen, auf Links in Phishing-Mails zu klicken, werden es Angreifer schwer haben, ihren Zero Day Exploit einzusetzen.
Wachsames Auge: Weil Sie nicht vorher wissen können, wie genau eine Zero-Day-Attacke abläuft, ist es unabdingbar, sämtliche verdächtige Aktivitäten stets im Blick zu haben. Auch wenn ein Angreifer sich über eine Zero-Day-Sicherheitslücke in Ihre Systeme schleicht, hinterlässt er bei seinen Bewegungen im Netzwerk Spuren. Intrusion-Detection-und-Prevention-Systeme sind darauf konzipiert, solche Vorgänge aufzudecken - fortschrittliche Antivirus-Lösungen können ebenfalls Hinweise auf schadhaftes Verhalten liefern, auch wenn keine entsprechenden Signaturen existieren.
Netzwerke absichern: Theoretisch kann jedes beliebige Device und jeder Server in Ihrem Unternehmensnetzwerk eine Zero-Day-Sicherheitslücke beherbergen. Allerdings ist es nicht sehr wahrscheinlich, dass das bei jedem einzelnen auch der Fall ist. Eine Netzwerk-Infrastruktur, die den Angreifern erschwert, sich von Rechner zu Rechner zu bewegen und gleichzeitig schnell und einfach die Isolation kompromittierter Systeme ermöglicht, kann den Schaden der durch Zero-Day-Attacken entsteht, erheblich abmildern. Insbesondere eine rollenbasierte Zugriffskontrolle ist dazu geeignet, Eindringlingen das Leben schwer zu machen.
Backup ist Pflicht: Allen Vorsichts- und Abwehrmaßnahmen zum Trotz kann es dazu kommen, dass ein Zero-Day-Angriff Teile Ihrer Systemlandschaft in die Knie zwingt und Daten beschädigt oder löscht. Regelmäßige Backups sind deswegen Pflicht, um in einem solchen Worst-Case-Szenario möglichst schnell wieder auf die Beine zu kommen.
Die Verteidigung gegen Zero-Day-Attacken ist jedoch nicht nur Sache von Unternehmen und Institutionen. Das gesamte Security-Ökosystem (vom selbständigen Security-Spezialisten bis hin zu den Security-Teams der großen Software- und Hardwarehersteller), hat eine Interesse daran, Zero-Day-Sicherheitslücken zu beseitigen, bevor kriminelle Hacker entsprechende Exploits ausliefern können. Dabei kommt es auch immer wieder zu "Unstimmigkeiten" - insbesondere dann, wenn Hersteller entsprechende Meldungen von White-Hat-Hackern einfach ignorieren. In solchen Fällen ist es nicht unüblich, dass die Security Researcher umfassende Informationen über die Schwachstelle öffentlich machen, um die Hersteller zum Handeln zu zwingen.
Inzwischen gibt es jedoch diverse Initiativen, die solche Szenarien zu verhindern versuchen - beispielsweise Bug-Bounty-Programme, wie Trend Micros "Zero Day Initiative", die Sicherheitsspezialisten eine Belohnung für die Meldung von Zero-Day-Lücken ausbezahlt. Auch wenn diese Belohnungen im Regelfall nicht mit den Summen vergleichbar sind, die Kriminelle bereit sind, für solche Lücken zu bezahlen, bieten sie doch eine Struktur, die zwischen White Hats und Herstellern vermitteln und der Generierung von Patches zuträglich sein kann.
Zero-Day-Angriffe - Beispiele
Der bislang prominenteste Zero Day Exploit ist wie bereits erwähnt EternalBlue - die nachfolgenden Attacken mit WannaCry waren allerdings keine Zero-Day-Angriffe, da Microsoft bereits im Vorfeld der Angriffswelle einen Patch bereitgestellt hatte. Anders sieht es bei folgenden Beispielen aus:
Nachdem die Systeme des Sicherheitsanbieters SonicWall mit Hilfe von Zero-Day-Sicherheitslücken kompromottiert wurden, rief das Unternehmen seine Kunden dazu auf, präventive Maßnahmen zu ergreifen.
Eine Sicherheitslücke in Microsoft-Exchange-Servern ermöglichte eine Reihe von Angriffen, die der chinesischen Hackergruppe Hafnium zugeschrieben wurden.
Eine Schwachstelle in Google Chrome wurde ausgenutzt, bevor der Suchmaschinenriese einen Patch zur Verfügung stellen konnte.
Das Team von Googles Project-Zero-Initiative deckte auf, dass kriminelle Hacker zahlreiche Zero-Day-Schwachstellen in Windows, iOS und Android ausgenutzt haben - die folgenden Attacken wurden miteinander kombiniert, um IT-Systeme zu infiltrieren.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.