Glossar

Zero Day Attacke

Zero Day Attacke – Angriff auf unbekannte Sicherheitslücke

Wenn zwischen dem Entdecken einer Sicherheitslücke und dem ersten Angriff kein einziger Tag vergeht, spricht man von einer Zero Day Attacke. Die Durchführung erfolgt mit einem sogenannten Zero-Day-Exploit. Ein Exploit ist die systematische Möglichkeit Schwachstellen in einem Programm auszunutzen um Hardware, Software, Daten oder das Netzwerk schädigen zu können. Angreifer dringen auf diese Weise in Computersysteme ein und verschaffen sich Zugang zu Daten. Solche Angriffe stellen für betroffene Unternehmen und private Personen ein besonders großes Risiko dar, da die Sicherheitslücke nicht bekannt ist und sich Angegriffene daher nicht optimal verteidigen können. Bei Zero-Day-Exploits kann es sich um Viren, Trojaner, Würmer oder verschiedene Arten von Malware handeln.

Was passiert bei einer entdeckten Sicherheitslücke?

In vielen Fällen erkennen nicht kriminell motivierte Personen oder Unternehmen solche Sicherheitslücken und informieren daraufhin den Softwarehersteller. Ein Exploit wird dann zum Aufzeigen der Schwachstelle entwickelt. Das Softwareunternehmen stellt daraufhin ein Update zur Verfügung, das den Code bereinigt. Selbst wenn Cyberkriminelle von der Sicherheitslücke erfahren, brauchen diese in der Regel Zeit, diese auszunutzen. Wird eine Schwachstelle nicht gemeldet, sondern mit einem Exploit ausgenutzt, handelt es sich um eine Zero Day Attacke. Der Angriff wird häufig erst wesentlich später entdeckt. Cyberkriminelle halten die Zero-Day-Exploits in der Regel lange geheim, damit sie diese weiter ausnutzen können. Teilweise werden diese auf dem Schwarzmarkt gehandelt oder den Softwarefirmen teuer angeboten. Sowohl staatliche Einrichtungen als auch private Unternehmen interessieren sich zur Absicherung für die Exploits.

Welche Gegenmaßnahmen gibt es?

Unternehmen haben verschiedene Möglichkeiten, um präventive Maßnahmen gegen Zero Day Attacken zu ergreifen. Solche präventive Maßnahmen gegen die Zero-Day-Exploits sind unter anderem:
• virtuelle LANs zum Schutz bei Datenübertragungen,
• der Einsatz eines Intrusion-Detections-Systems (IDS) bzw. Intrusion-Prevention-System (IPS),
• Zugriffskontrollen für Netzwerke zum Abwehren unautorisierter Rechner und
• eine starke Verschlüsselung für den Zugang zu WLAN-Netzen.
Tipps für mehr Sicherheit: Anwender sollten niemals unnötige Software installieren, da jedes Programm potenziell als Einfallstor für Zero Day Angriffe fungieren kann. Nicht mehr benötigte Software sollte deinstalliert werden. Sämtliche verwendeten Programme müssen immer auf dem neuesten Stand sein und Updates so schnell wie möglich installiert werden. Eine Firewall entdeckt zwar keine unbekannten Schwachstellen, kann jedoch beim Entdecken und Blockieren von verdächtigen Verbindungen helfen. Ausgewählte Softwarelösungen überwachen alle Anwendungen auf Servern und Firmencomputern und schlagen bei verdächtigem Verhalten Alarm.

Beispiel im Jahr 2016: iPhones durch gezielte Angriffe ausspionieren

Mit der Spyware Pegasus wurde eine Angriffskette eingesetzt, die drei unbekannte Sicherheitslücken in Apples iOS genutzt hat. Über mehrere Jahre hinweg ist es damit möglich gewesen, iPhones gezielt zu übernehmen.
Mithilfe der Zero-Day-Lücken haben Regierungsbehörden verschiedener Länder die Smartphones von Anwendern übernommen, ohne dass diese die Übernahme bemerkten. Die Forschungsgruppe Citizen Lab von der University of Toronto hat dies herausgefunden und die Sicherheitsfirma Lookout hat das Vorgehen der staatlichen Angreifer analysiert. Mitarbeiter beider Organisationen haben zum Schließen der Lücken mit Apple zusammengearbeitet. Mit der iOS-Version 9.3.5 wurden die Schwachstellen behoben.

Beispiel im Jahr 2017: die Zero Day Attacke DoubleAgent

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum Beispiel im März 2017 vor der Attacke DoubleAgent gewarnt. Von dieser waren alle Windows-Versionen von Windows XP bis Windows 10 betroffen. Hintergrundinfo: die Attacke nutzt eine undokumentierte Funktion im Microsoft Application Verifier aus und schleust eine veränderte DDL-Datei ein, die in den Prozess eines aktiven Programms injiziert wird. Im Anschluss kann ein Angreifer Malware installieren und Kontrolle über das System übernehmen. Entdeckt wurde diese schwere Windows-Sicherheitslücke von der israelischen Sicherheitsfirma Cybellum. Dabei können sogar Antiviren-Programme zum Einfallstor für den Schadcode werden.

Wie lässt sich eine Zero Day Lücke entdecken?

Für Unternehmen ist ein effektiver Schutz extrem wichtig. Technologiekonzerne beschäftigen daher eigene Teams, die im Wettlauf mit Cyberkriminellen nach Zero-Day-Schwachstellen suchen, bevor andere diese ausnutzen können. Das Aufspüren der Sicherheitslücken im Voraus wird in Fachkreisen häufig kritisiert, da die Tester in vielen Fällen gegen Richtlinien von Herstellern verstoßen oder sich nicht im legalen Rahmen bewegen. Die Teams entwickeln dann entweder einen eigenen Patch oder informieren den betroffenen Softwarehersteller von der Lücke. Zum Beispiel hat Google solch ein Team mit dem Namen „Projekt Zero“. Darüber hinaus haben sich einige Firmen auf die Entdeckung von Sicherheitslücken in Softwareprogrammen spezialisiert. Eine reine Antivirus-Software ist per Definition nicht in der Lage auf solch eine noch nicht identifizierte Zero-Day-Malware zu reagieren. Cybersicherheit ist ein Wettlauf mit der Zeit, bei einer Zero Day Attacke sind die Angreifer den Softwareherstellern einen Schritt voraus.