Zero-Day-Angriff
Was ist ein Zero-Day-Angriff?
Ein Zero-Day-Angriff (auch als Day Zero bezeichnet) ist ein Angriff, der eine potenziell schwerwiegende Schwachstelle der Softwaresicherheit ausnutzt, die dem Anbieter oder Entwickler möglicherweise nicht bekannt ist. Der Softwareentwickler muss sich beeilen, um die Schwachstelle zu beheben, sobald sie entdeckt wird, um die Bedrohung für die Softwarebenutzer zu begrenzen. Die Lösung heißt Software-Patch. Zero-Day-Angriffe können auch verwendet werden, um das Internet der Dinge (IoT) anzugreifen.
Ein Zero-Day-Angriff hat seinen Namen von der Anzahl der Tage, die der Softwareentwickler von dem Problem wusste.
Die zentralen Thesen
- Ein Zero-Day-Angriff ist ein softwarebezogener Angriff, der eine Schwachstelle ausnutzt, die einem Anbieter oder Entwickler nicht bekannt war.
- Der Name stammt von der Anzahl der Tage, die ein Softwareentwickler über das Problem informiert hat.
- Die Lösung zur Behebung eines Zero-Day-Angriffs wird als Software-Patch bezeichnet.
- Zero-Day-Angriffe können durch Antivirensoftware und regelmäßige Systemupdates verhindert werden, wenn auch nicht immer.
- Es gibt verschiedene Märkte für Zero-Day-Angriffe, die von legal bis illegal reichen. Dazu gehören der Weißmarkt, der Graumarkt und der Dunkelmarkt.
Einen Zero-Day-Angriff verstehen
Ein Zero-Day-Angriff kann Malware, Adware, Spyware oder unbefugten Zugriff auf Benutzerinformationen beinhalten. Benutzer können sich vor Zero-Day-Angriffen schützen, indem sie ihre Software – einschließlich Betriebssysteme, Antivirensoftware und Internetbrowser – so einstellen, dass sie automatisch aktualisiert wird, und indem sie alle empfohlenen Updates unverzüglich außerhalb der regelmäßig geplanten Updates installieren.
Eine aktualisierte Antivirensoftware schützt einen Benutzer jedoch nicht unbedingt vor einem Zero-Day-Angriff, da die Antivirensoftware diese möglicherweise erst erkennen kann, wenn die Sicherheitsanfälligkeit der Software öffentlich bekannt ist. Host-Intrusion-Prevention-Systeme tragen auch zum Schutz vor Zero-Day-Angriffen bei, indem sie Einbrüche verhindern und abwehren und Daten schützen.
Stellen Sie sich eine Zero-Day-Sicherheitslücke wie eine unverschlossene Autotür vor, die der Besitzer für verschlossen hält, aber ein Dieb entdeckt, dass sie unverschlossen ist. Der Dieb kann unentdeckt eindringen und Dinge aus dem Handschuhfach oder Kofferraum des Autobesitzers stehlen, die erst Tage später bemerkt werden, wenn der Schaden bereits angerichtet ist und der Dieb längst weg ist.
Während Zero-Day-Schwachstellen dafür bekannt sind, von kriminellen Hackern ausgenutzt zu werden, können sie auch von staatlichen Sicherheitsbehörden ausgenutzt werden, die sie für Überwachungen oder Angriffe nutzen wollen. Tatsächlich besteht eine so große Nachfrage nach Zero-Day-Schwachstellen von staatlichen Sicherheitsbehörden, dass sie den Markt für den Kauf und Verkauf von Informationen über diese Schwachstellen und deren Ausnutzung ankurbeln.
Zero-Day-Exploits dürfen öffentlich, nur dem Softwareanbieter offengelegt oder an Dritte verkauft werden. Wenn sie verkauft werden, können sie mit oder ohne Exklusivrechte verkauft werden. Die beste Lösung für eine Sicherheitslücke besteht aus Sicht des verantwortlichen Softwareunternehmens darin, dass ein ethischer Hacker oder White Hat die Schwachstelle dem Unternehmen privat offenlegt, damit sie behoben werden kann, bevor kriminelle Hacker sie entdecken. In einigen Fällen müssen jedoch mehrere Parteien die Schwachstelle beheben, um sie vollständig zu beheben, sodass eine vollständige private Offenlegung möglicherweise unmöglich ist.
Märkte für Zero-Day-Angriffe
Auf dem dunklen Markt für Zero-Day-Informationen tauschen kriminelle Hacker Details darüber aus, wie sie anfällige Software durchbrechen, um wertvolle Informationen zu stehlen. Auf dem grauen Markt verkaufen Forscher und Unternehmen Informationen an Militärs, Geheimdienste und Strafverfolgungsbehörden. Auf dem weißen Markt bezahlen Unternehmen White-Hat-Hacker oder Sicherheitsforscher dafür, Software-Schwachstellen zu erkennen und für Entwickler offenzulegen, damit diese Probleme beheben können, bevor kriminelle Hacker sie finden können.
Je nach Käufer, Verkäufer und Nützlichkeit können Zero-Day-Informationen einige Tausend bis mehrere Hunderttausend Dollar wert sein, was sie zu einem potenziell lukrativen Markt macht. Bevor eine Transaktion abgeschlossen werden kann, sollte der Verkäufer eine Proof-of-Concept (PoC), um die Existenz des Zero-Day-Exploits zu bestätigen. Für diejenigen, die unentdeckt Zero-Day-Informationen austauschen möchten, ermöglicht das Tor-Netzwerk die anonyme Durchführung von Zero-Day-Transaktionen mit Bitcoin.
Zero-Day-Angriffe sind möglicherweise weniger bedrohlich, als sie klingen. Regierungen haben möglicherweise einfachere Möglichkeiten, ihre Bürger auszuspionieren, und Zero-Days sind möglicherweise nicht der effektivste Weg, um Unternehmen oder Einzelpersonen auszubeuten. Ein Angriff muss strategisch und ohne Wissen des Ziels eingesetzt werden, um maximale Wirkung zu erzielen. Ein Zero-Day-Angriff auf Millionen von Computern gleichzeitig könnte die Existenz der Schwachstelle aufdecken und einen Patch zu schnell veröffentlichen, als dass die Angreifer ihr Endziel erreichen könnten.
Beispiel aus der realen Welt
Im April 2017 wurde Banker Trojan, um eine anfällige und ungepatchte Version der Software auszunutzen. Der Trojaner ermöglichte es den Angreifern, Schadcode in Word-Dokumente einzubetten, der beim Öffnen der Dokumente automatisch ausgelöst wurde. Der Angriff wurde vom Antivirenhersteller McAfee entdeckt, der Microsoft über seine kompromittierte Software informierte. Obwohl der Zero-Day-Angriff im April aufgedeckt wurde, waren bereits seit Januar Millionen von Nutzern ins Visier genommen worden.