Definition

Ein Zero Day (auch manchmal „0day“ genannt) ist eine Sicherheitslücke, die den Entwicklern der betroffenen Anwendung noch nicht gemeldet wurde, sodass sie „null Tage Zeit“ hatten, sie zu beheben – daher der Name. Ein Zero-Day-Exploit ist demnach das Ausnutzen einer solchen Sicherheitslücke. Üblicherweise testet ein Angreifer ein System so lange, bis er eine Zero-Day-Lücke findet. Ein Zero-Day-Angriff ist, wenn im Zuge eines Zero-Day-Exploits das betroffene System kompromittiert wird. Eine Zero-Day-Vulnerability bleibt manchmal jahrelang offen, bevor sie gemeldet wird. Diejenigen, die sie identifiziert haben, verkaufen ihre Exploits häufig auf Darknet-Marktplätzen.

Cybersicherheits-schulungen beginnen hier

Jetzt kostenlosen Test starten

So können Sie Ihre kostenlose Testversion nutzen:

  • Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
  • Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
  • Lernen Sie unsere Technologie in Aktion kennen!
  • Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.

Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.

Vielen Dank

Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.

Wie funktioniert ein Zero-Day-Exploit?

Wie ein Zero-Day-Exploit genau funktioniert hängt von der Art der Sicherheitslücke ab. Ein einzelner Angriff kann auch mehrere Sicherheitslücken gleichzeitig ausnutzen, um einen einzigen Zero Day so effektiv wie möglich einzusetzen. Beispielsweise kann ein Man-in-the-Middle-Angriff genutzt werden, um Daten abzufangen und zusätzlich einen Cross-Site-Scripting-Angriff (XSS-Angriff) durchzuführen.

Der Arbeitsprozess für einen Zero Day beginnt, sobald ein Angreifer die Sicherheitslücke entdeckt hat. Die Schwachstelle kann in Hardware, Firmware, Software oder jedem anderen Unternehmensnetzwerk liegen. Die folgenden Schritte beschreiben einen gewöhnlichen Zero-Day-Vorgang:

  1. Entwickler veröffentlichen eine Anwendung oder ein Update für eine Anwendung, das eine bisher noch nicht bekannte Sicherheitslücke enthält.
  2. Ein Angreifer scannt die Software und so findet die Sicherheitslücke, oder er lädt den Code von einem Repository herunter und findet dann eine Schwachstelle im Code.
  3. Der Angreifer nutzt Werkzeuge und Ressourcen, um die Schwachstelle auszunutzen. Das kann benutzerdefinierter Code sein, den der Angreifer schreibt, oder bestehende Tools.
  4. Die Sicherheitslücke wird mitunter jahrelang genutzt, bevor sie erkannt wird, aber letztendlich stoßen Forscher, die Öffentlichkeit oder IT-Experten auf Hacker-Aktivitäten und melden die Schwachstelle an die Entwickler.

Der Name Zero-Day bezeichnet die Zeit, die Entwickler haben, um eine Sicherheitslücke zu schließen. Zum Zeitpunkt, als der Angreifer die Lücke entdeckt, hatten die Entwickler null Tage Zeit, sie zu beheben. Sobald ein Patch zur Verfügung steht, gilt die Lücke nicht mehr als Zero Day. Jedoch kann die Sicherheitslücke immer noch weiter bestehen, nachdem die Entwicker ein Patch veröffentlicht haben, denn nicht immer installieren Admins und Nutzer die neuesten Updates, sodass das System weiterhin Lücken aufweist. Solche Systeme sind der häufigste Grund für kritische Datenverletzungen. Der Equifax-Hack, bei dem Hacker hunderte Millionen Datensätze stehlen konnten, wurde beispielsweise von einem öffentlich zugänglichen Server verursacht, auf dem die neuesten Patches nicht installiert waren.

Wie lässt sich ein Zero-Day-Exploit erkennen?

Entwickler denken nicht wie Hacker, sodass es nicht unüblich ist, dass in einer komplexen Anwendung mindestens eine Sicherheitslücke enthalten ist. Angreifer scannen und prüfen Software mitunter wochenlang auf der Suche nach einem Fehler. Angreifer, die aus der Ferne agieren, nutzen zahlreiche Werkzeuge, um Sicherheitslücken in Cloud-Software aufzuspüren. Organisationen können jedoch Schritte unternehmen, um auffälliges Verhalten zu erkennen und Zero-Day-Exploits zu stoppen.

Einige Strategien, die einer Organisation zur Verfügung stehen, um verdächtige Aktivitäten zu erkennen und Zero-Day-Angriffe zu verhindern, sind:

  • Monitoring auf statistischer Ebene: Anti-Malware-Anbieter veröffentlichen Statistiken über bisher entdeckte Exploits. Diese Datenpunkte können in ein Machine-Learning-System eingespeist werden, um aktuelle Angriffe zu erkennen. Diese Art des Aufspürens von Angriffen ist begrenzt wirksam gegen ausgefeiltere Bedrohungen, sodass es Falsch-Positiv- und Falsch-Negativ-Meldungen geben kann.
  • Signaturen: Jeder Exploit hat eine eigene digitale Signatur. Diese digitalen Signaturen können ebenfalls in Künstliche-Intelligenz-Systeme und Machine-Learning-Algorithmen einfließen, um Varianten früherer Angriffe zu erkennen.
  • Verhaltensbasiertes Monitoring: Malware nutzt spezielle Prozesse, um ein System zu scannen, und verhaltensbasiertes Monitoring schlägt Alarm, wenn es solchen verdächtigen Traffic in einem Netzwerk erkennt. Statt Signaturen oder Aktivitäten im Arbeitsspeicher zu analysieren, identifiziert verhaltensbasiertes Monitoring Malware anhand ihres Verhaltens in der Interaktion mit Geräten.
  • Hybride Erkennung verdächtiger Aktivitäten: Ein hybrider Ansatz nutzt eine Kombination der oben genannten Methoden, um die Effizienz beim Auffinden von Malware zu erhöhen.

Warum sind Zero-Day Exploits gefährlich?

Da Zero-Day-Exploits unbekannt sind, kann es vorkommen, dass potenzielle Schwachstellen längere Zeit unentdeckt bleiben. Dadurch können schädliche Routinen wie Code-Ausführung aus der Ferne, Ransomware, Stehlen von Zugangsdaten, Denial-of-Service-Angriffe (DoS-Angriffe) oder eine Vielzahl anderer Möglichkeiten in ein System eingeschleust werden. Diese heimtückische Seite von Zero-Day-Lücken kann eine Kompromittierung von Organisationen verursachen, und zwar Monate, bevor sie entdeckt und eingedämmt wird.

Mit einer unbekannten Schwachstelle im System kann eine Organisation Opfer eines Advanced Persistent Threats (APT) werden. APTs sind besonders gefährlich, weil diese Angreifer Hintertüren im Code hinterlassen, und sich mithilfe komplexer Malware durch das Netzwerk bewegen. Es kommt vor, dass Organisationen denken, sie hätten die Bedrohung gebannt, aber in Wirklichkeit befindet sich der APT weiterhin im Netzwerk, bis eine umfassende Analyse des Vorfalls inklusive der notwendigen Maßnahmen und forensischer Untersuchungen abgeschlossen ist.

Sicherheitslücken gehen nicht immer von falschen Konfigurationen oder Schwachstellen auf dem Unternehmensnetzwerk aus. Firmen, die es ihren Mitarbeitern erlauben, ihre eigenen Geräte mitzubringen, erhöhen das Risiko für ihre Systeme. Sollte eines der Nutzergeräte kompromittiert sein, kann das eine Infektion des gesamten Unternehmensnetzwerks verursachen.

Je länger eine Sicherheitslücke unentdeckt bleibt, desto länger kann ein Angreifer sie ausnutzen. Unbekannte Zero-Day-Lücken ermöglichen es einem Angreifer, potenziell Gigabytes an Daten zu exfiltrieren. Normalerweise werden Daten langsam exfiltiert, um ein Auffliegen zu vermeiden, wodurch die Kompromittierung der Organisation erst nach dem Verlust von Millionen an Datensätzen auffällt.

Wie kann man Zero-Day-Exploits verhindern?

Organisationen und Individuen stehen mehrere Möglichkeiten zur Verfügung, wie sie Zero-Day-Angriffe verhindern und sich von einem erfolgreichen Angriff erholen können. Sowohl Organisationen als auch Individuen müssen ihre Anti-Malware-Verteidigung proaktiv angehen. Die Verteidigungsmechanismen sollten eine Kombination aus Strategien und Standard-Cybersicherheitstechniken enthalten, die dazu geeignet sind, Angreifer zu stoppen und Benachrichtigungen über mögliche Sicherheitslücken zu senden.

Einige Cybersicherheitstechniken zur Verteidigung gegen Zero-Day-Exploits sind:

  • Antiviren-Anwendungen: Ob es sich um ein mobiles oder ein Desktop-Gerät handelt, es sollte immer Antivirensoftware installiert sein. Fortgeschrittene Antivirenprogramme arbeiten mit Künstlicher Intelligenz, um Muster in Malware-Verhalten zu erkennen, im Gegensatz zu traditioneller Antivirensoftware, die lediglich digitale Signaturen analysiert. So können Bedrohungen frühzeitig entdeckt werden.
  • Firewalls: Eine Firewall verhindert Port-Scans und blockiert den Zugriff auf verschiedene Services eines Desktop-Computers oder Netzwerks. Sie können dazu dienen, unautorisierten Traffic und Netzwerkzugriffe herauszufiltern.
  • Monitoring-Anwendungen: Monitoring-Systeme sind für private Netzwerke zuhause unüblich, aber für Unternehmen sind sie essenziell. Monitoring-Software erkennt ungewöhnliche Traffic-Aktivitäten, Freigabeanfragen für Dateien (sowohl erfolgreiche als auch abgelehnte), Datenbankabfragen, Änderungen der Betriebssystem-Einstellungen und viele andere Angriffsmethoden.
  • Regelmäßige Überprüfungen der Systemeinstellungen: Fehlerhafte Einstellungen führen zu offenen Sicherheitslücken. Überprüfen sie deshalb die Systemeinstellungen, um sicherzustellen, dass diese Angreifer (dazu gehören auch interne Bedrohungsakteure) aussperren.
  • Klären Sie Ihre Nutzer über die Gefahren von Phishing auf: Indem Sie Ihren Nutzern die Werkzeuge an die Hand geben, um Phishing zu erkennen und eine Phishing-Mail zu melden, reduzieren Sie die Gefahr erfolgreicher Phishing- und Social-Engineering-Angriffe signifikant.

Sollte eine Organisation eine erfolgreiche Kompromittierung erleiden, sind eine schnelle Reaktion auf den Vorfall und eine Untersuchung des Ablaufs gefragt. Die Reaktionszeit ist besonders entscheidend, um die Bedrohung möglichst schnell zu isolieren und aus dem System zu entfernen. Eine umfassende Untersuchung kann erforderlich sein, um Sicherheitslücken zu identifizieren und Hintertüren zu schließen, die der Angreifer möglicherweise zurückgelassen hat. Digitale Forensik kann dabei helfen, den Angreifer zu identifizieren, was im Nachgang eines Angriffs wichtig ist – insbesondere dann, wenn es sich dabei um einen Insider handelt.

Möchten Sie Proofpoint ausprobieren?

Starten Sie Ihre kostenlose Proofpoint Testphase.