Zero-Day-Sicherheitslücken – eine Erklärung

Zero-Day

Eine Zero-Day-Sicherheitslücke ist ein Software-Bug oder ein Exploit, der noch nicht gepatcht wurde. Er ist so etwas wie ein Loch in der Sohle Ihres Schuhs, welches Sie noch nicht bemerkt haben, ein maskierter Bösewicht jedoch, der gerade überlegt, ob er rostige Nägel auf Ihren Schuhsohlen verteilt. Hacker können diese Bugs und Exploits ausnutzen, um Ihre Daten zu stehlen, bevor Sie die Lücke finden und patchen.

Was sind Sicherheitslücken?

Sicherheitslücken erlauben es Angreifern, sich an Ihren Verteidigungsvorkehrungen vorbei, in Ihr Netzwerk zu schleichen, so wie die nicht gepatchte Software, die vergangene Unternehmens-Hacks ermöglichte.

Als Sicherheitsprofis beschäftigen wir uns regelmäßig mit allen möglichen Sicherheitslücken wie Software-Bugs, Hacks und menschlichen Schwächen.

Software-Bugs – wie derjenige, der zur Datenschutzverletzung etwa bei Equifax führte – sind Fehler im Programmcode, die Hacker nutzen können, um bis zu den Daten vorzudringen. Software-Hacks nutzen als Bestandteil eines Angriffs vorhandenen Funktionen aus: bei einem Angriff mit Goldenem Ticket handelt es sich beispielsweise um einen Hack zur Berechtigungseskalation, der sich die normale Funktionsweise von Microsoft Kerberos zunutze macht. Menschliche Schwächen werden am häufigsten durch Social Engineering ausgenutzt, wobei das Vertrauen (oder die Naivität) der Menschen missbraucht wird, um Passwörter zu stehlen oder Geld an Betrüger zu senden.

Wodurch entstehen Zero-Day-Sicherheitslücken?

attributes of zero-day vulnerability attack

Kurz gesagt: Zero-Day-Sicherheitslücken entstehen durch Schnellligkeit und Zeitmangel.

Bei ihnen handelt es sich um Software-Bugs, bei denen die Entwickler Null Tage Zeit haben, sie zu beheben, weil sie zum Zeitpunkt ihrer Identifizierung bereits massive Sicherheitsrisiken darstellen, die signifikante Schäden verursachen können. Zero-Day-Sicherheitsücken sind meistens nicht öffentlich bekannt und werden gepatcht, bevor Angreifer einen Exploit-Kit konstruieren können, der die Schwachstelle ausnutzt.

Solange die Zero-Day-Sicherheitslücke nicht veröffentlicht wurde, haben die Entwickler noch Zeit zu handeln. Sobald das Wissen über sie jedoch im Umlauf ist, wird die Erstellung eines Patches vor der Entstehung von Schäden zu einem Rennen für die Entwickler.

Viele Unternehmen bieten Belohnungen für die Entdeckung von Zero-Day-Sicherheitslücken in ihrer Software an. Microsoft und Google haben Geldpreise dafür ausgeschrieben, das Sicherheitslücken direkt an sie gemeldet werden, wobei Beträge bis zu 100.000 USD ausgeschrieben werden.

Zero-Day-Exploit

Ein Zero-Day-Exploit ist etwas anderes als eine Zero-Day-Sicherheitslücke. Zero-Day-Exploits müssen keine vorhandenen Sicherheitslücken sein: Bei ihnen kann es sich um eine brandneue Malware oder Ransomware handeln. Ein Zero-Day-Exploit ist eine absolut neue Angriffsart, die läuft und unmittelbare Gegenmaßnahmen erforderlich macht.

Wenn eine Zero-Day-Sicherheitslücke nicht entdeckt und gepatcht wird, bevor Angreifer sie finden, wird sie zu einem Zero-Day-Exploit.

Es ist nicht einfach, Zero-Day-Exploits zu erkennen und abzuwehren: Sie sind unbekannt, bis es zu spät ist, und es gibt kaum Untersuchungen zu ihren Eigenschaften. Mit Signaturen arbeitende Sicherheitslösungen können einen Zero-Day-Exploit nicht erkennen und es gibt keine Software-Patches, um die Sicherheitslücke unmittelbar zu stopfen. Sie müssen auf Zero-Day-Exploits schnell reagieren, um umfassende Schäden am Netzwerk oder Datendiebstahl zu verhindern.

Wie man sich gegen Zero-Day-Angriffe schützt

Sie können ein sicheres Netzwerk einrichten, dass gegen Zero-Day-Angriffe resistent ist. Durch die Überwachung von Daten und den Abgleich laufender Aktivitäten mit einem etablierten Basisszenario können Sie Abweichungen erkennen, die von Zero-Day-Angriffen verursacht werden. Jeder Cyberangriff – ob Zero-Day oder nicht – hinterlässt digitale Spuren in den Daten und im Netzwerk.

Beispielsweise wird ein Zero-Day-Exploit, der einem Angreifer Zugriff auf ein Benutzerkonto verschafft, voraussichtlich ein anormales Verhalten dieses Kontos verursachen. Der Angreifer durchsucht das Netzwerk möglicherweise nach Kreditkartennummern oder Passwortlisten, oder er versucht, die Berechtigungen des Kontos auf die eines Domain-Admin zu erweitern. Mit Varonis lösen beide Aktivitäten eines von mehreren verhaltensbasierten Bedrohungsmodellen aus und werden als verdächtige Aktivität markiert. Was können Sie also tun, um sich gegen Zero-Day-Sicherheitslücken zu schützen?

how to defend against zero-day attacks

  • Überwachen Sie Ihre zentralen Daten – einschließlich Dateien, Ordner, E-Mails, Active Directory, VPN, DNS und Web-Proxies – im Hinblick auf Verhaltensweisen, die auf einen Zero-Day-Angriff hinweisen könnten.
  • Setzen Sie das Prinzip der notwendigsten Berechtigung durch, um laterale Bewegungen und Datenexfiltration im Rahmen eines Zero-Day-Angriffs zu verhindern.
  • Aktualisieren Sie zum Schutz gegen Zero-Day-Sicherheitslücken Software und Sicherheitspakete (auch für IPS und Endgeräten) so bald sie verfügbar sind.
  • Legen Sie Sicherheitskopien von kritischen Systemen an und stellen Sie Wiederherstellungs- und Reaktionspläne auf.
  • Setzen Sie strenge Richtlinien für die Software- und Internetznutzung durch und schulen Sie Benutzer in der Erkennung von Phishing-Angriffen und anderen Sicherheitsrisiken.

Der letzte Punkt ist entscheidend: Geben Sie dem Team die Freiheit, Verhaltensweisen in ihren Systemen zu melden, die unpassend wirken – Denn Mitarbeiter bilden häufig die ultimative Verteidigungslinie gegen Zero-Day-Angriffe.

Beispiele für Zero-Day-Angriffe

Jährlich werden mindestens rund ein Dutzend unterschiedliche Zero-Day-Sicherheitslücken identifiziert und von Softwareanbietern gepatcht. Zweifelhaften Ruhm unter ihnen genießt die Strutshock-Lücke, die etwa beim Equifax-Vorfall ausgenutzt wurde. Die Entwickler hatten im März 2017 einen Patch für die Sicherheitslücke bereitgestellt, aber Equifax wandte das Update nicht an – woraus sich der Zero-Day-Angriff ergab.

Andere erwähnenswerte Zero-Day-Angriffe:

Tipps zum Verhindern von Zero-Day-Sicherheitslücken

Sie benötigen eine verhaltensbasierte Datenüberwachung, um Ihr Netzwerk vor Zero-Day-Angriffen zu schützen, die zum Schutz gegen bekannte und unbekannte Bedrohungen schützt. Varonis erstellt Verhaltens-Baselines, um ungewöhnliches Verhalten in Ihrem Netzwerk zu erkennen, und warnt vor verdächtigen Aktivitäten, damit Sie reagieren und die Gefahr stoppen können, bevor sie sich zu einer Datenschutzverletzung entwickelt. Signaturbasierte Systeme erkennen einen Zero-Day-Exploit nicht, aber eine datenzentrierte Lösung kann die digitalen Fußspuren eines laufenden Angriffs mit einem Zero-Day-Exploit identifizieren.

Lassen Sie sich bei einer kostenlosen 1:1-Demo zeigen, wie Varonis Angriffe erkennt, und entdecken Sie Best Practices zur Verteidigung gegen Zero-Day-Angriffe.