Zero-Day-Lücke
Der Begriff Zero Day kann sich auf die Sicherheitslücke selbst oder deren Ausnutzung (Zero-Day-Exploit) beziehen. Die Bezeichnung begründet sich darin, dass zwischen der Entdeckung der Sicherheitslücke und dem ersten Angriff null Tage liegen. Wird von einem Sicherheitsforscher oder von einem Unternehmen entdeckt, dass ein Programm ein potenzielles Sicherheitsproblem enthält, wird üblicherweise der Softwareanbieter kontaktiert, damit Maßnahmen ergriffen werden können. Im besten Fall hat der Hersteller nun etwas Zeit, den Code zu korrigieren und einen Patch beziehungsweise ein Software-Update zu verteilen. Üblicherweise wird einige Zeit gewartet, bevor die Schwachstelle der Allgemeinheit mitgeteilt wird.
Selbstredend existiert auch die Möglichkeit, dass potenzielle Angreifer die Sicherheitslücke als erste entdecken. Das macht es für Anwenderunternehmen schwierig, sich zu schützen, da weder Updates zur Verfügung stehen noch die Schwachstelle bekannt ist, so dass etwaige Workarounds greifen können. Hier können Technologien zur Früherkennung von Angriffen unter Umständen Schutz bieten.
Üblicherweise arbeiten Sicherheitsforscher mit Anbietern zusammen und erklären sich in der Regel bereit, alle Details von Zero-Day-Schwachstellen für einen angemessenen Zeitraum zurückzuhalten, bevor sie diese veröffentlichen. Das relativ bekannte Google Project Zero folgt beispielweise den Branchenrichtlinien, die den Anbietern bis zu 90 Tagen Zeit geben, um eine Schwachstelle zu beheben. Wenn den Kunden ein Update zur Verfügung gestellt wird, veröffentlicht Google Project Zero 30 Tage danach Details zur Schwachstelle.
Erkennung von Zero-Day-Exploits
Die Ausnutzung von Zero-Day-Lücken sind häufig schwer zu erkennen. Antimalware-Lösungen und manche Systeme zur Erkennung wie IDS (Intrusion Detection Systems) oder Intrusion Prevention Systems (IPS) können das Problem noch nicht ausmachen, weil noch keine Angriffssignatur existiert. Verhaltensbasierte Security-Lösungen können hier eventuell bessere Werte bei der Erkennung liefern. Aktivitäten, die außerhalb des normalen Betriebskorridors liegen, könnten ein Hinweis auf einen Zero-Day-Angriff sein.
So reagiert ein Server für Webanwendungen beispielsweise in einer bestimmten Weise auf Anfragen. Wenn ausgehende Pakete entdeckt werden, die den dieser Webanwendung zugewiesenen Port verlassen und diese Pakete nicht damit übereinstimmen, was normalerweise von der Anwendung erzeugt wird, ist dies ein guter Hinweis darauf, dass ein Angriff stattfindet.
Einige Zero-Day-Angriffe werden APT-Angreifern (Advanced Persistent Threats), sowie Hacking- oder Cybercime-Gruppen zugeschrieben, die im Auftrag von Regierungen agieren.
Schwachstellen, die noch nicht lange bekannt sind, bleiben eine Bedrohung und können noch lange nach Behebung der Sicherheitslücken durch Patches oder andere Maßnahmen der Hersteller ausgenutzt werden. Das Lösungen zur Behebung bereitstehen, heißt nicht, dass diese auch flächendeckend angewendet werden. Steht ein Patch zur Verfügung, wird die Sicherheitslücke üblicherweise ab diesem Zeitpunkt als N-Day-Schwachstelle bezeichnet. Und diese werden ausgenutzt. So wurde beispielsweise im Jahr 2017 die Kreditauskunftei Equifax von Angreifern attackiert, die eine Schwachstelle im Apache Struts-Webframework ausnutzen. Die Angreifer nutzen eine Schwachstelle in Apache Struts aus, die Anfang des Jahres gemeldet und gepatcht wurde. Das betroffene Unternehmen hatte es versäumt, die Schwachstelle zu patchen.
Ebenso finden Forscher immer wieder Zero-Day-Schwachstellen im SMB-Protokoll, das seit vielen Jahren in Windows-Betriebssysteme implementiert ist. Sobald die Schwachstelle bekannt wird, sollten Anwender die Systeme patchen. Angreifer nutzten die Schwachstelle so lange aus, wie entsprechende Systeme übers Internet erreichbar sind.
Zero-Day-Angriffe abwehren
Zero-Day-Exploits sind schwer zu bekämpfen, weil sie schwer zu erkennen sind. Software zum Scannen von Schwachstellen verlässt sich auf Signaturen, um verdächtigen Code damit abzugleichen. Wenn die Schadsoftware einen Zero-Day-Exploit verwendet, der bislang nicht aufgetreten ist, können solche Schwachstellenscanner die Malware nicht blockieren.
Da eine Zero-Day-Schwachstelle nicht im Voraus bekannt ist, gibt es keine Möglichkeit, sich vor einer bestimmten Schwachstelle zu schützen, bevor diese auftritt. Unternehmen können jedoch einige Maßnahmen ergreifen, um das Risiko zu verringern:
- Netzwerke sollten über physische oder virtuelle Ansätze segmentiert werden, um den sensiblen Datenverkehr zwischen Servern zu isolieren und Angriffsfläche zu verringern.
- Verwenden Sie aktuelle Technologien, um die Verschlüsselung und Authentifizierung beim Netzwerkverkehr bestmöglich zu gewährleisten.
- Setzen Sie auf Lösungen aus den Bereichen IDS (Intrusion Detection Systems) oder IPS (Intrusion Prevention Systems), um Angriffe zu identifizieren. Idealerweise solche Lösungen, die Angreifer auch über verdächtige Aktivitäten aufspüren können.
- Verwenden Sie Netzwerkzugriffskontrollen (Network Access Control, NAC), um zu verhindern, dass unberechtigte Zugang zu wichtigen Teilen der Unternehmensumgebung. Oder setzen Sie das Prinzip Zero Trust wo immer möglich um.
- Halten Sie alle Systeme auf dem aktuellen Stand und spielen Sie Patches ein. Wenn ein Zero-Day-Patch verfügbar ist, sollte er so schnell wie möglich angewendet werden. Ein gut funktionierendes Patch-Management ist eine entscheidende Säule bei der Abwehr von Zero-Day-Angriffen.
- Führen Sie regelmäßig Schwachstellenscans im Unternehmen durch. Schließen sie die gefundenen Sicherheitslücken und leiten Sie aus den Erkenntnissen neue Maßnahmen ab, um die Sicherheit strategisch zu verbessern.
Die Etablierung einer soliden Security-Strategie kann zwar nicht alle Zero-Day-Exploits verhindern. Aber sie kann helfen, die Risiken zu minimieren und Angriffe abzuwehren, die Zero-Day-Schwachstellen ausnutzen.
