Was ist ein Zero-Day-Angriff? – Definition und Erläuterung

Bedeutung und Definition von Zero-Day

Zero-Day ist ein allgemeiner Begriff und steht für neu entdeckte Sicherheitslücken, über die Hacker Systeme angreifen können. Die englische Ausdruck „Zero-Day“ bezieht sich auf die Tatsache, dass ein Hersteller oder Entwickler gerade erst von diesem Fehler erfahren hat und damit „Null Tage“ Zeit hat, ihn zu beheben. Man spricht von einem Zero-Day-Angriff, wenn Hacker die Schwachstelle ausnutzen können, bevor die Entwickler sie ausmerzen konnten.

Als Schreibweise wird gelegentlich auch „0-day“ verwendet. Die Begriffe Schwachstelle, Exploit und Angriff tauchen häufig im Zusammenhang mit Zero-Day auf, daher erscheint es sinnvoll, auch diese Begriffe zu klären:

• Eine Zero-Day-Schwachstelle ist eine Schwachstelle in der Software, die von Angreifern entdeckt wurde, bevor der Hersteller darauf aufmerksam geworden ist. Da der Herstellen nichts davon weiß, gibt es auch keinen Patch, so dass die Angriffe mit hoher Wahrscheinlichkeit erfolgreich verlaufen.
• Eine Zero-Day-Exploit ist die Methode, die die Hacker zum Angriff auf eine bislang unerkannte Schwachstelle anwenden.
• Ein Zero-Day-Angriff ist die Anwendung eines Zero-Day-Exploits, um Schaden anzurichten oder Daten aus einem geschwächten System zu entwenden.

Was sind Zero-Day-Angriffe und wie funktionieren sie?

Software weist häufig Sicherheitslücken auf, die Hacker ausnutzen, um Chaos auszulösen. Die Aufgabe der Softwareentwickler besteht darin, solche Schwachstellen zu finden und zu „patchen“, d. h. eine Lösung (einen Patch) zu entwickeln, die sie in einem neuen Update weitergeben.

Allerdings sind Hacker oder schädliche Akteure gelegentlich schneller und finden Schwachstellen, bevor sie dem Entwickler auffallen. Solange die Sicherheitslücke offen bleibt, haben Angreifer die Möglichkeit, diese mittels eines neu geschriebenen Codes auszunutzen. Dieser wird auch als Exploit-Code bezeichnet.

Der Exploit-Code kann gegen die Nutzer der Software gerichtet sein, z. B. in Form von Identitätsdiebstahl oder anderen Arten von Cyberkriminalität.. Wenn ein Angreifer eine Zero-Day-Schwachstelle erkannt hat, muss er eine Möglichkeit finden, in das angeschlagene System vorzudringen. Häufig geschieht das über Social Engineering, d. h. eine E-Mail-Nachricht, in der ein Angreifer sich als seriöser Absender ausgibt. In dieser Nachricht versucht er den Nutzer zu einer Aktion zu veranlassen, z. B. eine Datei zu öffnen oder eine schädliche Webseite zu besuchen. Geht der Nutzer darauf ein, wird die Malware des Angreifers heruntergeladen, die Dateien des Nutzers werden infiziert und vertrauliche Daten werden gestohlen.

Sobald eine Sicherheitslücke bekannt wird, versuchen Entwickler, diese mit einem neuen Patch zu schließen und den Angriff zu stoppen. Allerdings werden Sicherheitslücken oft nicht sofort entdeckt. Es können manchmal Tage, Wochen oder sogar Monate vergehen, bis die Entwickler die Schwachstelle finden, die zu dem Angriff geführt hat. Und selbst wenn ein Zero-Day-Patch herausgegeben wird, heißt das noch nicht, dass alle Nutzer diesen auch sofort implementieren. In den letzten Jahren konnten Hacker immer sehr schnell auf neu entdeckte Schwachstellen reagieren.

Im Darknet werden für Exploits viel Geld bezahlt. Sobald ein Exploit entdeckt und gepatcht wurde, gilt er nicht mehr als Zero-Day-Bedrohung.

Zero-Day-Angriffe sind besonders gefährlich, weil die Angreifer die einzigen Menschen sind, die davon wissen. Nachdem die Kriminellen ein System infiziert haben greifen sie nicht immer sofort an, sondern warten gelegentlich einen besonders günstigen Moment ab, um zuzuschlagen.

Wer steckt hinter Zero-Day-Angriffen?

Hinter Zero-Day-Angriffen stehen je nach Motivation ganz unterschiedliche Personengruppen. Zum Beispiel:

• Cyberkriminelle – Hacker, die sich in erster Linien bereichern möchten
• Hacktivisten – Hacker, die ein politisches oder soziales Anliegen verfolgen und vor allem durch spektakuläre Angriffe die Aufmerksamkeit auf ihre Sache lenken möchten
• Betriebsspionage – Hacker, die auf diese Weise versuchen an Betriebsgeheimnisse zu kommen
• Cyberkriegsführung – Länder oder politische Akteure, die die Cyberinfrastruktur eines anderen Landes ausspionieren oder angreifen möchten

Auf wen zielen Zero-Day-Exploits ab?

Die Schwachstellen, die bei einem Zero-Day-Angriff gehackt werden, können in einer ganzen Reihe von Systemen auftreten:

• Betriebssysteme 
• Webbrowser 
• Office-Anwendungen
• Frei zugängliche Komponenten (Open Source)
• Hardware und Firmware
• Internet of Things (IoT) 

Daher gibt es auch ein breites Spektrum an potenziellen Opfern:

• Privatpersonen, die ein infiziertes System wie einen Browser oder ein Betriebssystem nutzen. Hacker können Sicherheitslücken nutzen, um Geräte anzugreifen und riesige Botnets aufzubauen.
• Personen, die Zugang zu wertvollen Unternehmensdaten wie z. B. geistigem Eigentum haben
• Hardware-Geräte, Firmware und das Internet der Dinge (IoT)
• Große Unternehmen und Organisationen
• Staatliche Stellen
• Politische Ziele und/oder Bedrohungen der nationalen Sicherheit

Zero-Day-Angriffe lassen sich auch durchaus sinnvoll in gezielte und ungezielte Angriffe unterteilen:

• Gezielte Zero-Day-Angriffe haben es auf potenziell wertvolle Ziele abgesehen, also große Organisationen, Behörden oder hochrangige Einzelpersonen.
• Nicht zielgerichtete Zero-Day-Angriffe nehmen meist die Nutzer anfälliger Systeme, wie Betriebssysteme oder Browser, ins Visier.

Aber auch wenn es die Angreifer nicht auf bestimmte Personen abgesehen haben, können trotzdem sehr viele Menschen von Zero-Day-Angriffen betroffen sein, wobei ihre Schädigung eher ein Nebenprodukt ist. Bei nicht zielgerichteten Angriffen geht es darum, eine möglichst große Breitenwirkung zu erzielen, was bedeutet, dass wirklich jeder ganz normale Nutzer davon betroffen sein kann.

So erkennen Sie Zero-Day-Angriffe

Da Zero-Day-Schwachstellen die unterschiedlichsten Formen annehmen können – wie fehlende Datenverschlüsselung, fehlende Berechtigungen, zerstörte Algorithmen, Bugs, Probleme mit der Passwortsicherheit usw. – sind sie meist auch schwer zu erkennen. Gerade deswegen stehen detaillierte Informationen zu Zero-Day-Exploits erst nach ihrer Aufdeckung zur Verfügung.

Organisationen, die über einen Zero-Day-Exploit angegriffen werden, beobachten eventuell auffallend hohen Datenverkehr oder verdächtige Scan-Aktivitäten, die von einem Client oder Dienst ausgehen. Zu den Erkennungstechniken für Zero-Day-Angriffe gehören:

1. Einsatz vorhandener Datenbanken über Malware und deren Verhalten als Referenz. Obwohl diese Datenbanken sehr schnell aktualisiert werden und als Ausgangspunkt sehr nützlich sein können, sind Zero-Day-Exploits ihrer Definition nach völlig neu und unbekannt. Dem Nutzen solcher Datenbanken sind also Grenzen gesetzt.
2. Alternativ kann man auch versuchen, charakteristische Züge von Zero-Day-Malware daran auszumachen, wie sie mit dem Zielsystem interagiert. Bei dieser Technik schaut man weniger auf den Code der eingehenden Dateien, sondern auf deren Interaktion mit der im System vorhandenen Software, um daraus abzuleiten, ob es sich möglicherweise zum schädliche Aktivitäten handelt.
3. Zunehmend kommt auch maschinelles Lernen zum Einsatz, um anhand von zuvor gemeldeten Exploits und den Daten vergangener und aktueller Interaktionen mit dem System Grundzüge des sicheren Systemverhaltens abzuleiten. Je mehr Daten zur Verfügung stehen, um so zuverlässiger die Erkennung.

Häufig werden auch unterschiedliche Erkennungsmethoden kombiniert.

Beispiele für Zero-Day-Angriffe

Im Folgenden haben wir ein paar aktuelle Beispiele für Zero-Day-Angriffe zusammengestellt:

2021: Zero-Day-Schwachstelle bei Chrome

Im Jahr 2021 wurde Google Chrome Opfer einer Reihe von Zero-Day-Bedrohungen, so dass Chrome sich genötigt sah, mehrere Updates herauszugeben. Die Sicherheitslücke entstand durch einen Fehler in der JavaScript-Engine V8, die in dem Webbrowser eingesetzt wird.

2020: Zoom

In der beliebten Videokonferenzplattform wurde eine Schwachstelle gefunden. Bei diesem Zero-Day-Angriff gelang es Hackern, sich per Fernzugriff auf den PC eines Benutzers aufzuschalten, wenn dieser eine ältere Version von Windows verwendete. War der Betroffene selbst Administrator in seinem System konnte der Hacker den Rechner komplett übernehmen und auf alle Dateien zugreifen.

2020: Apple iOS

Das Apple-Betriebssystem iOS gilt unter den großen Smartphone-Plattformen als die sicherste. Im Jahr 2020 fiel iOS allerdings mindestens zwei Arten von Zero-Day-Schwachstellen zum Opfer, darunter einem Zero-Day-Bug, über den die Angreifer iPhones per Fernzugriff manipulieren konnten.

2019: Microsoft Windows, Osteuropa

Dieser Angriff zielte auf lokale Eskalationsberechtigungen ab, eine Schwachstelle von Microsoft Windows, und nahm Regierungseinrichtungen in Osteuropa ins Visier. Über eine in dieser Region unzureichend abgesicherte Berechtigung in Microsoft Windows gelang es den Angreifern, beliebigen Code auszuführen, Anwendungen zu installieren sowie Daten in den betroffenen Anwendungen anzuzeigen und zu verändern. Nachdem der Angriff erkannt und an das Microsoft Security Response Center gemeldet worden war, wurde ein Patch entwickelt und die Schwachstelle geschlossen.

2017: Microsoft Word

Mit diesem Zero-Day-Exploit verschafften sich die Angreifer Zugang zu privaten Bankkonten. Die Opfer hatten ein infiziertes Word-Dokument geöffnet. Daraufhin erschien das Popup-Fenster „Remote-Content laden“ mit der Aufforderung, den externen Zugriff durch ein anderes Programm zuzulassen. Wenn die Opfer diese Aufforderung bestätigten, wurde eine Malware auf ihrem Gerät installiert, die ihre Anmeldedaten für das Online-Banking erfassen konnte.

Stuxnet

Der wohl bekannteste Fall eines Zero-Day-Angriffs ist Stuxnet. Dieser Computerwurm wurde das erste Mal im Jahr 2010 entdeckt, trieb aber wohl schon seit 2005 sein Unwesen. Er befiel Computer in der Fertigung, auf denen eine speicherprogrammierbare Steuerung (SPS) lief. Sein primäres Ziel waren die Urananreicherungsanlagen im Iran und die Störung des iranischen Atomprogramms. Der Wurm nutzte Schwachstellen in der Step7-Software von Siemens aus, um die SPS-Steuerungen dazu zu bringen, an den Maschinen der Produktionslinie unerwartete Befehle auszuführen. Die Geschichte von Stuxnet wurde später in einem Dokumentarstreifen mit dem Titel „Zero Days“ verfilmt.

So schützen Sie sich vor Zero-Day-Angriffen

Zum Schutz von Computern und Daten vor Zero-Day-Bedrohungen müssen sich sowohl Privatpersonen als auch Organisationen an die Best Practices der Cybersicherheit halten. Hierzu gehören:

Halten Sie Ihre Anwendungen und Betriebssysteme auf dem neuesten Stand. Denn die Hersteller bieten regelmäßig Sicherheits-Patches an, um neu aufkommende Schwachstellen zu schließen. Mit diesen neuesten Versionen gehen Sie stets auf Nummer sicher.

Installieren Sie nur solche Anwendungen, die Sie auch wirklich brauchen. Je mehr Software, desto mehr potenzielle Schwachstellen. Sie können das Risiko für Ihr Netzwerk senken, indem Sie auf unnötige Anwendungen verzichten.

Firewall verwenden. Eine Firewall bietet Ihrem System wirksamen Schutz gegen Zero-Day-Bedrohungen. Und eine Firewall, die so konfiguriert ist, dass sie nur notwendige Transaktionen zulässt, sorgt für maximale Sicherheit.

Für Organisationen gilt: Klären Sie alle Mitarbeiter über die Risiken auf. Viele Zero-Day-Angriffe sind auf menschliche Fehler zurückzuführen. Durch Mitarbeiterschulungen in sicherem Verhalten sind die Anwender in Ihrem Unternehmen und damit auch Ihre Organisation vor Zero-Day-Exploits und anderen digitalen Bedrohungen geschützt.

Installation einer umfassenden Antiviren-Softwarelösung. Kaspersky Total Security schützt Ihre Geräte, indem bekannte und unbekannte Bedrohungen abgewehrt werden.

Verwandte Artikel:

• Was ist ein Trojaner?
• So schützen Sie sich vor Cyberkriminalität
• Was ist ein Rootkit?
• Was ist eine Sicherheitsverletzung?