Was ist ein Zero-Day Exploit?

Die Definition und 5 Hauptarten

Zero-Day Exploit / Angriff

Keine Software ist perfekt. Auch wenn eine gute Leistung bei der Ausführung vollbringt, kann es im Code einige Sicherheitslücken geben. Obwohl Softwareentwickler normalerweise Überstunden machen, um die zugrunde liegenden Probleme zu lösen, können Hacker Sicherheitslücken häufig schneller erkennen und diese ausnutzen. Sie können diese Fehler ausnutzen, um sogenannte Zero-Day-Angriffe auf Computer und Netzwerke zu starten. Dann können sich nicht einmal die besten Maßnahmen der Cybersicherheit dagegen abwehren.

Zusammenfassung: Zero-Day ist ein Begriff, der sich auf neulich gefundene unbekannte und (oder) undokumentierte Programmprobleme bezieht. Es kann sich sowohl auf Software- und Systemschwachstellen als auch auf Viren, Würmer, Malware und Angriffe beziehen, die diese Sicherheitsanfälligkeiten ausnutzen, um die Kontrolle über den Zielcomputer und sonstige Netzwerke zu übernehmen. Lesen Sie weiter, um mehr über die größten Zero-Day-Attacken zu erfahren und lernen Sie die besten Möglichkeiten kennen, um weiterhin sicher zu bleiben.

Zero Day Exploit

Was ist ein Zero-Day?

In der Computersprache bezieht sich der Begriff Zero-Day( Nulltag) auf den ersten Tag, an dem ein Problem bekannt ist oder erwartet wird. Der Begriff wird auch als Maßstab verwendet, da die meisten Sicherheitsteams die Zeit zwischen der Entdeckung des Problems und dessen anschließende Aufhebung beobachten. Zero-Day bezieht sich somit auf den Tag, an dem sie das Problem zuerst angesprochen haben. Der Begriff wird meistens verwendet, um bestimmte Cybersecurity-Bedrohungen zu beschreiben, so z.B Viren, Schwachstellen und Angriffe.

Ein Zero-Day-Virus ist ein Begriff der Cybersicherheit, mit dem ein gerade entdeckter Virus beschrieben wird, der von der vorhandenen Antivirensoftware nicht erkannt und( oder) nicht entfernt werden kann. In ähnlicher Weise bezieht sich Zero-Day-Malware auf neu entdeckte schädliche Software (Malware), die schnell erforscht und behoben werden muss. Es gibt auch Zero-Day-Würmer, die entweder metamorph (diejenigen, die den gesamten Code mit jeder neuen Version geändert haben, um eine Erkennung zu vermeiden) oder polymorph (die nur einen Teil ihres Codes ändern) sein können.

Unabhängig von der Art kann jede neu entdeckte und derzeit nicht lokalisierte Cybersecurity-Bedrohung als Zero-Day-Exploit bezeichnet werden . Wie der Name vermuten lässt, kommen diese Bedrohungen zum Vorschein, indem Sicherheitslücken in Anwendungen, Systemen und Netzwerken identifiziert und ausgenutzt werden, welche unglücklicherweise noch nicht von den Cyber-Security-Experten identifiziert, dokumentiert und der Öffentlichkeit gemeldet wurden. Diese Fehler werden meistens in kürzlich aktualisierten Softwareteilen gefunden und werden im Allgemeinen als Zero-Day-Schwachstellen bezeichnet.

Viele verwenden die Begriffe Zero-Day-Exploit und Zero-Day-Schwachstelle austauschbar, auch wenn es einen großen Unterschied zwischen beiden gibt. Da es sich um Cyberbedrohungen handelt, ist ein Zero-Day-Exploit von Natur aus böswillig. In der Tat wird es auch oft als Zero-Day-Angriff bezeichnet und kein Cyber-Angriff ist bekanntlich wohlwollend. Auf der anderen Seite ist der Begriff der Zero-Day-Schwachstelle neutral, da er sich auch auf ein Softwarefehler beziehen kann, die von Sicherheitsexperten entdeckt und behoben wurden, bevor Hacker Zeit hatten, sie zu identifizieren und auszunutzen.

Welche Arten von Zero-Day-Angriffen gibt es?

In den letzten Jahren sind Zero-Day-Angriffe besonders häufig geworden. Laut Statistiken von 2016 machten Zero-Day-Exploits mehr als ein Drittel aller weltweiten Malware-Angriffe aus. Diese Bedrohung gilt für alle mit dem Internet verbundenen Geräte, unabhängig davon, ob sie privaten oder geschäftlichen Benutzern gehören. Zu den größten Zero-Day-Angriffen der letzten Jahre gehören folgende:

1. Stuxnet

Stuxnet wurde 2010 entdeckt und war einer der ersten Zero-Day-Exploits, welche Schlagzeilen in der technischen Branche machte. Dieser Computerwurm nutzte Zero-Day-Schwachstellen aus, die in der Windows-Software gefunden wurden. Das Ziel waren digitale Geräte, die die Produktion von angereichertem Uran steuern, mit dem Atomwaffen betrieben werden. Obwohl die Macher von Stuxnet noch immer unbekannt sind, wird angenommen, dass sie von den US-amerikanischen und israelischen Geheimdiensten ins Leben gerufen worden sind, um die Bemühungen von Iran bei der Entwicklung von Atomwaffen zu behindern.

2. Der Sony Zero-Day-Angriff

Im Jahr 2014 führte eine Gruppe von Hackern, die angeblich Verbindungen zu Nordkorea hatten, einen Zero-Day-Angriff gegen Sony Pictures Entertainment durch, welches eines der sechs großen Filmstudios in Hollywood ist. Die genaue Sicherheitsanfälligkeit, die die Hacker ausnutzten, ist unbekannt, aber ihr Angriff führte zum Diebstahl Tausender von Vertragsseiten, Geschäftsplänen, Skripts und sogar zu vollständigen Kopien von fünf unveröffentlichten, preisgekrönten Filmen. Vor allem erhielten die Hacker Tausende von privaten E-Mails, die von den Top-Managern des Studios geschrieben wurden.

3. Der DNC-Zero-Day-Angriff

Der bekannteste Zero-Day-Angriff ereignete sich 2016, als eine Gruppe russischer Hacker mindestens sechs Zero-Day-Schwachstellen in Programmen wie Flash und Java ausnutzte, um das Democratic National Committee zu hacken. Die Hacker erhielten zahlreiche private E-Mails, die von bekannten politischen Persönlichkeiten, darunter der damaligen Präsidentschaftskandidatin Hillary Clinton, gesendet und empfangen wurden. Alle gestohlenen Informationen, einschließlich einer langen Liste von Spendern für die DNC, wurden auf WikiLeaks sowie auf der neu erstellten DCLeaks-Website veröffentlicht.

4. Die Zero-Day-Exploits von Microsoft für 2017-2018

In den Jahren 2017 und 2018 haben Hacker zahlreiche Zero-Day-Schwachstellen in Microsoft Office entdeckt. Trotz der Versuche von Microsoft, die Probleme zu beheben, suchten die Hacker nach Möglichkeiten, die Sicherheitspatches zu umgehen und Angriffe zu starten. Einer von ihnen nutzte die Hintertür FELIXROOT, eine Art Malware, um eine Cyberspionage-Kampagne gegen hauptsächlich ukrainische Ziele zu starten. Da es über Dokumente im russischsprachigen Rich Text-Format (.rtf) verbreitet wurde, wird angenommen, dass die russische Regierung für den Angriff verantwortlich war.

Ein paar Monate nach dem Angriff von FELIXROOT im August 2018 entdeckte ein Twitter-Benutzer, der behauptete, Cybersecurity-Analyst zu sein, eine Zero-Day-Schwachstelle in der 64-Bit-Version von Windows 10. Diese Informationen waren öffentlich verfügbar, sodass Hacker darauf zugreifen konnten. Daraufhin konnten Hacker diese Sicherheitsanfälligkeit für Zielcomputer ausnutzen, die auf diesem Betriebssystem ausgeführt werden. Die Tatsache, dass Microsoft eine ganze Woche brauchte, um ein Sicherheitspatch zu veröffentlichen, gab Hackern viel Zeit, um Angriffe auszuführen.

5. Der Zero-Day-Ausverkauf von BuggiCorp

Im Jahr 2016 kündigte ein Benutzer namens BuggiCorp den Verkauf eines großen Zero-Day-Exploits in einem russischen Web-Forum an, das sich auf den Verkauf von Cybersecurity-Informationen spezialisiert hat. Für 90.000 US-Dollar war der Exploit angeblich in der Lage, in allen Versionen von Microsoft Windows, einschließlich Windows 10, der neuesten Version des vor einem Jahr veröffentlichten Betriebssystems, eine Sicherheitslücke auszunutzen.

Der Verkäufer behauptete, dass bei einer Aktivierung des Exploits bis zu 1,5 Milliarden Computer auf der ganzen Welt betroffen sein könnten. Es ist nicht bekannt, ob ein Cyberkrimineller den Exploit gekauft hat. Alles, was bekannt ist, ist dass der Verkäufer den Exploit ursprünglich bei 95.000 Dollar festgesetzt hatte, um den Preis später auf 90.000 Dollar und dann auf 85.000 Dollar zu senken. Einige Cybersecurity-Medien sahen dies als ein Zeichen dafür, dass der Verkäufer des Exploits keinen Käufer finden konnte.

So ermitteln Sie einen Zero-Day-Angriff

Da Zero-Day-Schwachstellen softwarespezifisch sind, gibt es keine Möglichkeit für einzelne Benutzer, sie zu erkennen, es sei denn, sie verfügen über immense Programmierkenntnisse und beschließen, bei der Suche nach Sicherheitsfehlern den Quellcode genau zu betrachten. Programmierer können mit einer der folgenden Methoden Zero-Day-Angriffe erkennen und Maßnahmen ergreifen, um sie zu neutralisieren:

  • Statistische Methode – Diese Methode beruht in erster Linie auf Daten aus den zuvor identifizierten Exploits, die auf dasselbe System abzielten. Sicherheitsexperten verwenden verschiedene maschinelle Lerntechniken, um die Daten zu sammeln und ein normales Systemverhalten zu bestimmen. Jede Abweichung vom sicheren Verhalten wird als rote Flagge behandelt.
  • Verhaltensmethode – Diese Methode konzentriert sich auf die Art und Weise, wie eine bekannte Malware mit ihrem Ziel interagiert. Anstatt sich auf den tatsächlichen Inhalt eingehender Dateien zu konzentrieren, untersucht diese Technik ihre Interaktion mit dem System, um zu ermitteln, ob diese Interaktion normal ist oder auf eine mögliche schädliche Aktivität zurückzuführen ist.
  • Signaturmethode – Jede einzelne Cyberbedrohung, sei es ein Virus, ein Wurm oder ein Stück Malware, hat eine eindeutige Signatur, mit der Antivirensoftware sie erkennt. Laut Definition sind Zero-Day-Exploits unbekannt, was bedeutet, dass sie keine Signatur haben. Sicherheitsexperten können jedoch maschinelles Lernen einsetzen, um auf der Grundlage zuvor identifizierter Exploits neue Signaturen zu entwickeln und diese zur Erkennung potenzieller Zero-Day-Angriffe zu verwenden.
  • Kombinierte Methode – Wie der Name schon sagt, ist diese Methode eine Kombination der drei oben beschriebenen Methoden. Diese Methode ist zwar komplizierter als die einzelnen Techniken, sollte jedoch die genauesten Ergebnisse liefern.

Schutz vor Zero-Day-Angriffen

Da Zero-Day-Angriffe zuvor unbekannte Software- und Systemschwachstellen ausnutzen, können sie nicht verhindert werden. Es gibt jedoch einige Möglichkeiten, um zu vermeiden, dass Sie Opfer eines Zero-Day-Angriffs werden. Zum einen sollten Sie regelmäßig alle Anwendungen aktualisieren, die auf Ihrem Computer installiert sind. Wenn Sie einige Programme nicht mehr verwenden, ist es immer besser, sie von Ihrem Computer zu entfernen, anstatt sie als veraltete Software aufzubewahren und möglicherweise Ihr System und Ihre Dateien Hackerangriffen auszusetzen.

Es ist auch wichtig, dass Sie die beste Antivirensoftware verwenden, um Ihren Computer sicher zu halten. Wie bei den meisten anderen Cyber-Bedrohungen können Hacker Zero-Day-Angriffe verwenden, um Spyware, Ransomware und andere Arten bösartiger Software auf Ihrem Computer zu installieren. Ein gutes Antivirenprogramm erkennt alle diese Bedrohungen und entfernt sie von Ihrem Computer. Darüber hinaus bietet es Echtzeitschutz vor allen anderen Cyberbedrohungen und führt automatische Hintergrund-Scans durch, ohne den Computer zu verlangsamen.

Ihre Firewall spielt auch eine entscheidende Rolle bei der Abwehr von Zero-Day-Angriffen. Obwohl einige Betriebssysteme über integrierte Firewalls verfügen, verfügen einige der besten Antivirenprogramme über eine erweiterte Firewall-Funktionen, die jederzeit optimalen Schutz bieten. Denken Sie daran, zusätzlich zur Firewall regelmäßige Updates der Datenbanken und Virendefinitionen zu aktivieren, um sicherzustellen, dass Ihr Computer vor den neuesten Bedrohungen geschützt ist.

Quellen (auf Englisch)

 

Sind Sie geschützt?

Hacker können Zero-Day-Exploits verwenden, um schädliche Software auf Ihrem Computer zu installieren und die Kontrolle über Ihre Dateien und persönlichen Informationen zu übernehmen.