Was ist ein Zero-Day-Exploit?

Die unbekannte oder nicht behobene Sicherheitslücke wird als Zero-Day-Schwachstelle oder Zero-Day-Bedrohung bezeichnet. Man spricht von einem Zero-Day-Angriff, wenn ein böswilliger Akteur eine Zero-Day-Schwachstelle ausnutzt, um Malware einzuschleusen, Daten zu stehlen oder Benutzern, Unternehmen oder Systemen anderweitig Schaden zuzufügen.

Ein ähnliches Konzept, allerdings mit anderen Merkmalen, ist Zero-Day-Malware. Dabei handelt es sich um einen Virus oder eine Malware, für die noch keine Signatur bekannt oder verfügbar ist und die daher von vielen Antiviren-Softwarelösungen oder anderen signaturbasierten Technologien zur Erkennung von Bedrohungen nicht registriert wird.

Seit 1988 hat das X-Force Threat Intelligence Team von IBM 7.327 Zero-Day-Schwachstellen registriert, was gerade einmal 3 Prozent aller aufgezeichneten Sicherheitslücken entspricht. Zero-Day-Schwachstellen – insbesondere in weit verbreiteten Betriebssystemen oder Computergeräten – stellen jedoch ein ernstes Sicherheitsrisiko dar. Denn sie machen eine große Anzahl von Benutzern oder ganze Unternehmen für Cyberkriminalität anfällig, zumindest so lange, bis der Anbieter oder die Cybersicherheits-Community das Problem identifiziert und eine Lösung herausbringt.

Eine Zero-Day-Schwachstelle existiert in einer Version eines Betriebssystems, einer Anwendung oder eines Geräts von dem Moment an, in dem das Betriebssystem, die Anwendung oder das Gerät veröffentlicht wird. Aber der Software-Anbieter oder Hardware-Hersteller weiß davon nichts. Die Schwachstelle kann Tage, Monate oder Jahre lang unentdeckt bleiben, bis jemand sie findet.

Im besten Fall finden Sicherheitsforscher oder Softwareentwickler die Schwachstelle, bevor die Angreifer sie finden. Doch manchmal finden Hacker die Schwachstelle zuerst.

Unabhängig davon, wer die Schwachstelle entdeckt, wird sie oft kurz darauf öffentlich bekannt. In der Regel informieren Anbieter und Sicherheitsexperten ihre Kunden darüber, damit diese entsprechende Vorsichtsmaßnahmen treffen können. Oftmals tauschen sich auch Hacker untereinander über Schwachstellen aus. Forscher, die die Aktivitäten von Cyberkriminellen beobachten, finden so manchmal heraus, dass es eine Schwachstelle gibt. Manche Anbieter halten eine Schwachstelle so lange geheim, bis sie ein Software-Update oder eine andere Lösung entwickelt haben. Das kann jedoch ein Risiko darstellen – denn wenn Hacker die Schwachstelle finden, bevor Anbieter sie beheben, besteht die Gefahr, dass Unternehmen unvorbereitet getroffen werden.

Sobald eine neue Zero-Day-Schwachstelle bekannt wird, beginnt ein Wettlauf zwischen Sicherheitsexperten, die an einer Lösung arbeiten, und Hackern, die einen Zero-Day-Exploit zur Ausnutzung der Schwachstelle entwickeln, um in ein System einzudringen. Wenn Hacker einen funktionierenden Zero-Day-Exploit entwickelt haben, nutzen sie ihn, um einen Cyberangriff zu starten.

Hacker entwickeln Exploits oft schneller, als Sicherheitsteams Patches entwickeln können. Einer Schätzung zufolge sind Exploits in der Regel innerhalb von 14 Tagen nach dem Bekanntwerden einer Sicherheitslücke verfügbar. Sobald jedoch Zero-Day-Angriffe gestartet werden, folgen Patches oft schon nach wenigen Tagen. Das liegt daran, dass die Anbieter die Informationen aus den Angriffen für sich nutzen können, um die Schwachstelle zu finden, die behoben werden muss. Obwohl Zero-Day-Schwachstellen also durchaus gefährlich sein können, bleibt Hackern normalerweise nicht viel Zeit, um sie auszunutzen.

Stuxnet war ein raffinierter Computerwurm, der vier verschiedene Zero-Day-Schwachstellen in der Software von Microsoft Windows-Betriebssystemen ausnutzte. Im Jahr 2010 wurde Stuxnet bei einer Reihe von Angriffen auf Atomanlagen im Iran eingesetzt. Nachdem der Wurm in die Computersysteme einer Atomanlage eingedrungen war, schickte er bösartige Befehle an die Zentrifugen, die zur Urananreicherung verwendet werden. Diese Befehle bewirkten, dass sich die Zentrifugen so schnell drehten, dass sie zusammenbrachen. Insgesamt wurden durch Stuxnet 1.000 Zentrifugen beschädigt.

Forscher glauben, dass die US-amerikanische und die israelische Regierung gemeinsam an der Entwicklung von Stuxnet gearbeitet haben, was jedoch nicht bestätigt wurde.

Log4Shell war eine Zero-Day-Schwachstelle in Log4J, einer Open-Source-Java-Bibliothek, die zur Protokollierung von Fehlermeldungen verwendet wird. Hacker konnten die Log4Shell-Schwachstelle nutzen, um fast jedes Gerät, auf dem Java-Anwendungen laufen, aus der Ferne zu kontrollieren. Da Log4J in beliebten Programmen wie Apple iCloud und Minecraft verwendet wird, waren Hunderte von Millionen von Geräten gefährdet. In der CVE-Datenbank (Common Vulnerabilities and Exposures) von MITRE erhielt Log4Shell die höchstmögliche Risikobewertung: 10 von 10.

Die Log4Shell-Schwachstelle war bereits seit 2013 vorhanden, aber die Hacker begannen erst 2021 damit, sie auszunutzen. Schon kurz nach der Entdeckung wurde ein Patch für die Schwachstelle veröffentlicht, aber Sicherheitsforscher entdeckten zu Spitzenzeiten mehr als 100 Log4Shell-Angriffe pro Minute.

Anfang 2022 nutzten Hacker aus Nordkorea eine Zero-Day-Schwachstelle in Google Chrome-Webbrowsern zur Ausführung von Remote-Code aus. Die Hacker verwendeten Phishing-E-Mails, um ihre Opfer auf gefälschte Websites zu locken, die die Sicherheitslücke in Chrome ausnutzten, um Spyware und Malware für den Remote-Zugriff auf den Rechnern der Opfer zu installieren. Die Schwachstelle wurde schnell gepatcht, aber die Hacker haben ihre Spuren gut verwischt, und die Forscher wissen nicht genau, welche Daten gestohlen wurden.

Zero-Day-Angriffe gehören zu den am schwierigsten zu bekämpfenden Cyber-Bedrohungen. Hacker können Zero-Day-Schwachstellen ausnutzen, noch bevor ihre Opfer überhaupt etwas davon mitbekommen. So haben die Bedrohungsakteure die Möglichkeit, sich unbemerkt in Netzwerke einzuschleichen.

Und selbst wenn die Schwachstelle öffentlich bekannt wird, kann es eine Weile dauern, bis die Software-Anbieter einen Patch veröffentlichen, sodass Unternehmen in der Zeit zwischen Bekanntwerden und Patch-Veröffentlichung ungeschützt sind.

Heutzutage werden Zero-Day-Schwachstellen von Hackern immer häufiger ausgenutzt. Ein Bericht von Mandiant aus dem Jahr 2022 zeigte, dass allein im Jahr 2021 mehr Zero-Day-Schwachstellen ausgenutzt wurden als in den Jahren 2018 bis 2020 zusammen.

Die Zunahme von Zero-Day-Angriffen hängt wahrscheinlich damit zusammen, dass die Unternehmensnetzwerke immer komplexer werden. Unternehmen verlassen sich heutzutage auf eine Kombination aus Cloud- und lokalen Anwendungen, unternehmens- und mitarbeitereigenen Geräten sowie Geräten aus dem Internet der Dinge (IoT) und der operativen Technologie (OT). Alle diese Faktoren vergrößern die Angriffsfläche eines Unternehmens – und in jedem davon könnten Zero-Day-Schwachstellen lauern.

Da Zero-Day-Schwachstellen für Hacker so lukrative Möglichkeiten bieten, handeln Cyberkriminelle mittlerweile Zero-Day-Schwachstellen und Zero-Day-Exploits für horrende Summen auf dem Schwarzmarkt. Im Jahr 2020 verkauften Hacker beispielsweise Zoom-Zero-Days für bis zu 500.000 US-Dollar.

Auch staatliche Akteure sind dafür bekannt, dass sie nach Zero-Day-Schwachstellen suchen. Viele von ihnen entscheiden sich dafür, die gefundenen Zero-Day-Schwachstellen nicht zu veröffentlichen und stattdessen ihre eigenen geheimen Zero-Day-Exploits zu entwickeln, um sie gegen ihre Gegner einzusetzen. Dieses Vorgehen wird von vielen Anbietern und Sicherheitsforschern kritisiert, da es unwissende Unternehmen in Gefahr bringt.

Sicherheitsteams sind bei Zero-Day-Schwachstellen oft im Nachteil. Da diese Schwachstellen unbekannt sind und es keine Patches dafür gibt, können Unternehmen sie im Rahmen ihres Cybersecurity-Risikomanagements oder bei der Behebung von Schwachstellen nicht berücksichtigen.

Unternehmen können jedoch Schritte unternehmen, um mehr Schwachstellen aufzudecken und die Auswirkungen von Zero-Day-Angriffen zu verringern.

Patch-Management: Sobald Anbieter von Zero-Day-Schwachstellen erfahren, bringen sie schnellstmöglich Sicherheits-Patches heraus. Doch viele Unternehmen versäumen es, diese Patches zügig zu installieren. Ein formelles Programm für das Patch-Management kann Sicherheitsteams helfen, den Überblick über diese wichtigen Patches zu behalten.

Schwachstellenmanagement: Gründliche Schwachstellenanalysen und Penetrationstests können Unternehmen dabei helfen, Zero-Day-Schwachstellen in ihren Systemen zu finden, bevor Hacker es tun.

Angriffsflächenmanagement (Attack Surface Management, ASM): Mit ASM-Tools können Sicherheitsteams alle Assets in ihren Netzwerken identifizieren und sie auf Schwachstellen untersuchen. ASM-Tools bewerten das Netzwerk aus der Perspektive eines Hackers und konzentrieren sich darauf, wie Bedrohungsakteure wahrscheinlich Assets ausnutzen, um sich Zugang zu verschaffen. Da ASM-Tools Unternehmen helfen, ihre Netzwerke mit den Augen eines Angreifers zu sehen, können sie zur Aufdeckung von Zero-Day-Schwachstellen beitragen.

Threat-Intelligence-Feeds: Sicherheitsforscher gehören oft zu den ersten, die Zero-Day-Schwachstellen melden. Unternehmen, die sich über externe Threat-Intelligence auf dem Laufenden halten, erfahren möglicherweise früher von neuen Zero-Day-Schwachstellen.

Anomaliebasierte Erkennungsmethoden: Zero-Day-Malware ist in der Lage, signaturbasierte Erkennungsmethoden zu überlisten. Tools, die mit Hilfe von maschinellem Lernen verdächtige Aktivitäten in Echtzeit erkennen, können jedoch häufig Zero-Day-Angriffe abfangen. Zu den gängigen anomaliebasierten Erkennungslösungen gehören User and Entity Behaviour Analytics (UEBA), Extended Detection and Response-Plattformen (XDR), Endpoint Detection and Response-Tools (EDR) sowie einige Intrusion Detection- und Intrusion Prevention-Systeme.

Zero-Trust-Architektur: Wenn ein Hacker eine Zero-Day-Schwachstelle ausnutzt, um in ein Netzwerk einzudringen, kann eine Zero-Trust-Architektur den Schaden begrenzen. Bei einer solchen Zero-Trust-Architektur kommen kontinuierliche Authentifizierung und das Prinzip des Zugriffs mit den geringsten Berechtigungen zum Einsatz. So lassen sich Lateralbewegungen unterbinden, während böswilligen Akteuren der Zugriff auf sensible Ressourcen verwehrt wird.