Ein Zero-Day-Exploit ist ein Vektor oder eine Technik für Cyberangriffe, der bzw. die eine unbekannte oder nicht behobene Sicherheitslücke in Computersoftware, -hardware oder -firmware ausnutzt. Der Begriff „Zero Day“ bezieht sich auf die Tatsache, dass der Software- oder Geräteanbieter „null Tage“ (auf Englisch „zero days“) bzw. keine Zeit hat, die Sicherheitslücke zu schließen, weil böswillige Akteure sie bereits nutzen können, um sich Zugang zu anfälligen Systemen zu verschaffen.
Die unbekannte oder nicht behobene Sicherheitslücke wird als Zero-Day-Schwachstelle oder Zero-Day-Bedrohung bezeichnet. Man spricht von einem Zero-Day-Angriff, wenn ein böswilliger Akteur eine Zero-Day-Schwachstelle ausnutzt, um Malware einzuschleusen, Daten zu stehlen oder Benutzern, Unternehmen oder Systemen anderweitig Schaden zuzufügen.
Ein ähnliches Konzept, allerdings mit anderen Merkmalen, ist Zero-Day-Malware. Dabei handelt es sich um einen Virus oder eine andere Form von Malware, für die noch keine Signatur bekannt oder verfügbar ist und die daher von vielen Antiviren-Softwarelösungen oder anderen signaturbasierten Technologien zur Erkennung von Bedrohungen nicht registriert wird.
Seit 1988 hat das X-Force Threat Intelligence Team von IBM 7.327 Zero-Day-Schwachstellen registriert. Das sind zwar nur drei Prozent aller erfassten Sicherheitslücken insgesamt, aber Zero-Day-Schwachstellen – insbesondere solche in weit verbreiteten Betriebssystemen oder Computergeräten – gehören zu den gravierendsten Sicherheitsrisiken. Denn sie machen eine große Anzahl von Benutzern oder ganze Unternehmen für Cyberkriminalität anfällig, zumindest so lange, bis der Anbieter oder die Cybersicherheits-Community das Problem identifiziert und eine Lösung herausbringt.
Eine Zero-Day-Schwachstelle existiert in einer Version eines Betriebssystems, einer Anwendung oder eines Geräts von dem Moment an, in dem das Betriebssystem, die Anwendung oder das Gerät veröffentlicht wird. Aber der Software-Anbieter oder Hardware-Hersteller weiß davon nichts. Die Schwachstelle kann Tage, Monate oder Jahre lang unentdeckt bleiben, bis jemand sie findet.
Im besten Fall finden Sicherheitsforscher oder Softwareentwickler die Schwachstelle, bevor die Angreifer sie finden. Manchmal allerdings stoßen Hacker zuerst auf die Schwachstelle.
Unabhängig davon, wer die Schwachstelle entdeckt, wird sie oft kurz darauf öffentlich bekannt. In der Regel informieren Anbieter und Sicherheitsexperten ihre Kunden darüber, damit diese entsprechende Vorsichtsmaßnahmen treffen können. Oftmals tauschen sich auch Hacker untereinander über Schwachstellen aus. Forscher, die die Aktivitäten von Cyberkriminellen beobachten, finden so manchmal heraus, dass es eine Schwachstelle gibt. Manche Anbieter halten eine Schwachstelle so lange geheim, bis sie ein Software-Update oder eine andere Lösung entwickelt haben. Das kann jedoch ein Risiko darstellen – denn wenn Hacker die Schwachstelle finden, bevor Anbieter sie beheben, besteht die Gefahr, dass Unternehmen unvorbereitet getroffen werden.
Sobald eine neue Zero-Day-Schwachstelle bekannt wird, beginnt ein Wettlauf zwischen Sicherheitsexperten, die an einer Lösung arbeiten, und Hackern, die einen Zero-Day-Exploit zur Ausnutzung der Schwachstelle entwickeln, um in ein System einzudringen. Wenn Hacker einen funktionierenden Zero-Day-Exploit entwickelt haben, nutzen sie ihn, um einen Cyberangriff zu starten.
Hacker entwickeln Exploits oft schneller, als Sicherheitsteams Patches entwickeln können. Einer Schätzung zufolge (Link befindet sich außerhalb von ibm.com) sind Exploits in der Regel innerhalb von 14 Tagen nach dem Bekanntwerden einer Sicherheitslücke verfügbar. Sobald jedoch Zero-Day-Angriffe gestartet werden, folgen Patches oft schon nach wenigen Tagen. Das liegt daran, dass die Anbieter die Informationen aus den Angriffen für sich nutzen können, um die Schwachstelle zu finden, die behoben werden muss. Obwohl Zero-Day-Schwachstellen also durchaus gefährlich sein können, bleibt Hackern normalerweise nicht viel Zeit, um sie auszunutzen.
Stuxnet war ein raffinierter Computerwurm, der vier verschiedene Zero-Day-Schwachstellen in der Software von Microsoft Windows-Betriebssystemen ausnutzte. Im Jahr 2010 wurde Stuxnet bei einer Reihe von Angriffen auf Atomanlagen im Iran eingesetzt. Nachdem der Wurm in die Computersysteme einer Atomanlage eingedrungen war, schickte er bösartige Befehle an die Zentrifugen, die zur Urananreicherung verwendet werden. Diese Befehle bewirkten, dass sich die Zentrifugen so schnell drehten, dass sie zusammenbrachen. Insgesamt wurden durch Stuxnet 1.000 Zentrifugen beschädigt.
Forscher glauben, dass die US-amerikanische und die israelische Regierung gemeinsam an der Entwicklung von Stuxnet gearbeitet haben, was jedoch nicht bestätigt wurde.
Log4Shell war eine Zero-Day-Schwachstelle in Log4J, einer Open-Source-Java-Bibliothek, die zur Protokollierung von Fehlermeldungen verwendet wird. Hacker konnten die Log4Shell-Schwachstelle nutzen, um fast jedes Gerät, auf dem Java-Anwendungen laufen, aus der Ferne zu kontrollieren. Da Log4J in beliebten Programmen wie Apple iCloud und Minecraft verwendet wird, waren Hunderte von Millionen von Geräten gefährdet. In der CVE-Datenbank (Common Vulnerabilities and Exposures) von MITRE erhielt Log4Shell die höchstmögliche Risikobewertung: 10 von 10.
Die Log4Shell-Schwachstelle war bereits seit 2013 vorhanden, aber die Hacker begannen erst 2021 damit, sie auszunutzen. Schon kurz nach der Entdeckung wurde ein Patch für die Schwachstelle veröffentlicht, aber Sicherheitsforscher entdeckten zu Spitzenzeiten mehr als 100 Log4Shell-Angriffe pro Minute. (Link befindet sich außerhalb von ibm.com).
Anfang 2022 nutzten Hacker aus Nordkorea eine Zero-Day-Schwachstelle in Google Chrome-Webbrowsern zur Ausführung von Remote-Code aus. Die Hacker verwendeten Phishing-E-Mails, um ihre Opfer auf gefälschte Websites zu locken, die die Sicherheitslücke in Chrome ausnutzten, um Spyware und Malware für den Remote-Zugriff auf den Rechnern der Opfer zu installieren. Die Schwachstelle wurde nach ihrem Bekanntwerden gepatcht, aber die Hacker haben ihre Spuren gut verwischt, und die Forscher wissen nicht genau, welche Daten gestohlen wurden.
Zero-Day-Angriffe gehören zu den am schwierigsten zu bekämpfenden Cyber-Bedrohungen. Hacker können Zero-Day-Schwachstellen ausnutzen, noch bevor ihre Opfer überhaupt etwas davon mitbekommen. So haben die Bedrohungsakteure die Möglichkeit, sich unbemerkt in Netzwerke einzuschleichen.
Und selbst wenn die Schwachstelle öffentlich bekannt wird, kann es eine Weile dauern, bis die Software-Anbieter einen Patch veröffentlichen, sodass Unternehmen in der Zeit zwischen Bekanntwerden und Patch-Veröffentlichung ungeschützt sind.
Seit einigen Jahren werden Zero-Day-Schwachstellen von Hackern immer häufiger ausgenutzt. Ein Bericht von Mandiant aus dem Jahr 2022 zeigte, dass allein im Jahr 2021 mehr Zero-Day-Schwachstellen ausgenutzt wurden als in den Jahren 2018 bis 2020 zusammen (Link befindet sich außerhalb von ibm.com).
Die Zunahme von Zero-Day-Angriffen hängt wahrscheinlich damit zusammen, dass die Unternehmensnetzwerke immer komplexer werden. Unternehmen verlassen sich heutzutage auf eine Kombination aus Cloud- und lokalen Anwendungen, unternehmenseigenen und mitarbeitereigenen Geräten sowie Geräten aus dem Internet der Dinge (IoT) und der operativen Technologie (OT). All dies vergrößert die Angriffsfläche eines Unternehmens – und in jedem davon könnten Zero-Day-Schwachstellen lauern.
Da Zero-Day-Schwachstellen für Hacker so lukrative Möglichkeiten bieten, handeln Cyberkriminelle mittlerweile Zero-Day-Schwachstellen und Zero-Day-Exploits für horrende Summen auf dem Schwarzmarkt. Im Jahr 2020 verkauften Hacker beispielsweise Zoom-Zero-Days für bis zu 500.000 US-Dollar (Link befindet sich außerhalb von ibm.com).
Auch staatliche Akteure sind dafür bekannt, dass sie nach Zero-Day-Schwachstellen suchen. Viele von ihnen entscheiden sich dafür, die gefundenen Zero-Day-Schwachstellen nicht zu veröffentlichen und stattdessen ihre eigenen geheimen Zero-Day-Exploits zu entwickeln, um sie gegen ihre Gegner einzusetzen. Dieses Vorgehen wird von vielen Anbietern und Sicherheitsforschern kritisiert, da es unwissende Unternehmen in Gefahr bringt.
Sicherheitsteams sind bei Zero-Day-Schwachstellen oft im Nachteil. Da diese Schwachstellen unbekannt sind und es keine Patches dafür gibt, können Unternehmen sie im Rahmen ihres Cybersecurity-Risikomanagements oder bei der Behebung von Schwachstellen nicht berücksichtigen.
Es gibt jedoch Schritte, die Unternehmen unternehmen können, um mehr Schwachstellen aufzudecken und die Auswirkungen von Zero-Day-Angriffen zu verringern.
Patch-Management: Sobald Anbieter von Zero-Day-Schwachstellen erfahren, bringen sie schnellstmöglich Sicherheits-Patches heraus. Doch viele Unternehmen versäumen es, diese Patches zügig zu installieren. Ein formelles Programm für das Patch-Management kann Sicherheitsteams helfen, den Überblick über diese wichtigen Patches zu behalten.
Schwachstellenmanagement: Gründliche Schwachstellenanalysen und Penetrationstests können Unternehmen dabei helfen, Zero-Day-Schwachstellen in ihren Systemen zu finden, bevor Hacker es tun.
Angriffsflächenmanagement (Attack Surface Management, ASM): Mit ASM-Tools können Sicherheitsteams alle Assets in ihren Netzwerken identifizieren und sie auf Schwachstellen untersuchen. ASM-Tools bewerten das Netzwerk aus der Perspektive eines Hackers und konzentrieren sich darauf, wie Bedrohungsakteure wahrscheinlich Assets ausnutzen, um sich Zugang zu verschaffen. Da ASM-Tools Unternehmen helfen, ihre Netzwerke mit den Augen eines Angreifers zu sehen, können sie zur Aufdeckung von Zero-Day-Schwachstellen beitragen.
Threat-Intelligence-Feeds: Sicherheitsforscher gehören oft zu den ersten, die Zero-Day-Schwachstellen melden. Unternehmen, die sich über externe Threat-Intelligence auf dem Laufenden halten, erfahren möglicherweise früher von neuen Zero-Day-Schwachstellen.
Anomaliebasierte Erkennungsmethoden: Zero-Day-Malware ist in der Lage, signaturbasierte Erkennungsmethoden zu überlisten. Tools, die mit Hilfe von maschinellem Lernen verdächtige Aktivitäten in Echtzeit erkennen, können jedoch häufig Zero-Day-Angriffe abfangen. Zu den gängigen anomaliebasierten Erkennungslösungen gehören User and Entity Behaviour Analytics (UEBA), Extended Detection and Response-Plattformen (XDR), Endpoint Detection and Response-Tools (EDR) sowie einige Intrusion Detection- und Intrusion Prevention-Systeme.
Zero-Trust-Architektur: Wenn ein Hacker eine Zero-Day-Schwachstelle ausnutzt, um in ein Netzwerk einzudringen, kann eine Zero-Trust-Architektur den Schaden begrenzen. Bei einer solchen Zero-Trust-Architektur kommen kontinuierliche Authentifizierung und das Prinzip des Zugriffs mit den geringsten Berechtigungen zum Einsatz. So lassen sich Lateralausbreitungen unterbinden, während böswilligen Akteuren der Zugriff auf sensible Ressourcen verwehrt wird.
Verbessern Sie schnell die Cyberresilienz Ihres Unternehmens. Verwalten Sie die Erweiterung Ihres digitalen Fußabdrucks, decken Sie Schatten-IT auf und kommen Sie mit korrelierten, auf Tatsachen beruhenden Erkenntnissen, die auf gegnerischer Versuchung basieren, ans Ziel.
81 % der SOC-Experten geben an, dass sie durch manuelle Untersuchungen ausgebremst werden.1 Beschleunigen Sie die Untersuchung von Alerts mit der IBM® Security QRadar Suite, einer modernen Auswahl an Sicherheitstechnologien, die Analysten ein einheitliches, auf KI und Automatisierung basierendes Erlebnis bietet.
Führen Sie ein Programm für das Schwachstellenmanagement ein, das Schwachstellen erkennt, priorisiert und deren Behebung verwaltet, Ihre Verteidigung gegen Angriffe stärkt, die Zeit für die Behebung verkürzt und die Einhaltung gesetzlicher Vorschriften unterstützt.
Erfahren Sie alles, was Sie über Zero-Day-Exploits und die entscheidende Rolle, die sie für die Sicherheit spielen, wissen müssen. Erstellt von Randori, einem IBM-Unternehmen.
Cyberangriffe sind Versuche, durch unbefugten Zugriff auf Computersysteme Assets anderer zu stehlen, verfügbar zu machen, zu verändern, zu deaktivieren oder zu zerstören.
Schwachstellenmanagement ist die kontinuierliche Erkennung und Behebung von Sicherheitslücken in der IT-Infrastruktur und Software eines Unternehmens.
Fußnoten
1 Global Security Operations Center Study Results (PDF), durchgeführt von Morning Consult und gesponsert von IBM, März 2023