Was ist ein Zero-Day-Exploit?

Ein Zero-Day-Exploit ist ein Angriff, der eine größtenteils unbekannte Sicherheitslücke ausnutzt.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • „Sicherheitslücke“ definieren und Zero-Day-Sicherheitslücke beschreiben
  • Erklären, was ein Zero-Day-Exploit ist
  • Die wichtigsten Methoden zur Prävention von Zero-Day-Angriffen beschreiben

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Zero-Day-Exploit?

Ein Zero-Day-Exploit (auch Zero-Day-Bedrohung genannt) ist ein Angriff, bei dem böswillige Akteure eine Sicherheitslücke ausnutzen, für die es noch keine Lösung gibt. Man spricht von einer „Zero-Day“-Bedrohung, weil der Entwickler oder das Unternehmen, sobald die Schwachstelle entdeckt wird, „null Tage“ Zeit hat, um eine Lösung zu finden.

Was sind Schwachstellen?

Eine Sicherheitslücke ist ein unbeabsichtigter Software- oder Hardwarefehler, der durch einen Programmierfehler oder eine unsachgemäße Konfiguration entstanden ist. Da Sicherheitslücken ungewollt entstehen, sind sie schwer zu erkennen und können über Tage, Monate oder manchmal sogar Jahre unbemerkt bleiben.

Wie funktionieren Zero-Day-Exploits?

Wenn Angreifer eine bisher unbekannte Sicherheitslücke aufspüren, schreiben sie einen Code, der auf diese spezielle Sicherheitslücke ausgerichtet ist, und verpacken den Code in Malware. Wird der Code ausgeführt, kann er ein System kompromittieren.

Angreifer nutzen Zero-Day-Sicherheitslücken auf verschiedene Weise aus. Eine gängige Taktik ist die Verbreitung von Malware über Phishing-E-Mails. Diese enthalten Anhänge oder Links, in denen die Sicherheitslücken eingebettet sind. Wenn ein Nutzer mit dem Anhang oder dem Link interagiert, werden diese böswilligen Nutzlasten ausgeführt.

Ein berühmter Zero-Day-Angriff betraf Sony Pictures Entertainment im Jahr 2014. Dabei gelangten sensible Informationen wie Kopien von unveröffentlichten Filmen, E-Mail-Kommunikation zwischen hochrangigen Mitarbeitern und Geschäftspläne an die Öffentlichkeit. Die Angreifer gelangten an diese Informationen über einen Zero-Day-Exploit.

Zero-Day-Exploits können einem Unternehmen in vielerlei Hinsicht schaden. Neben dem Verlust wertvoller oder vertraulicher Daten können Kunden das Vertrauen in das Unternehmen einbüßen, und das Unternehmen muss möglicherweise wertvolle technische Ressourcen abzweigen, um die Sicherheitslücke zu schließen.

Zero-Day-Bedrohungen erkennen

Per Definition sind Zero-Day-Bedrohungen schwer zu erkennen. Trotzdem wurden mehrere Strategien entwickelt:

  • Statistikbasierte Erkennung: Mithilfe von maschinellem Lernen werden historische Daten aus früheren Exploits gesammelt und ein Standardniveau für sicheres Verhalten festgelegt, um Zero-Day-Bedrohungen in Echtzeit zu erkennen. Dieser Ansatz passt sich jedoch nicht an veränderte Muster an, sodass neue Angriffsprofile erstellt werden müssen, um Veränderungen zu berücksichtigen.
  • Signaturbasierte Erkennung: Diese Methode wird bereits seit den Anfängen der Sicherheitsüberwachung eingesetzt. Bestehende Datenbanken mit Malware-Signaturen – eindeutige Werte, die das Vorhandensein von Schadcode anzeigen – werden beim Scannen nach neuen potenziellen Bedrohungen mit lokalen Dateien und Downloads abgeglichen. Ein Nachteil dieser Methode ist, dass Signaturen nur Bedrohungen identifizieren können, die bereits bekannt sind, sodass diese Methode die meisten Zero-Day-Bedrohungen nicht erkennen kann.
  • Verhaltensbasierte Erkennung: Die Interaktionen der Nutzer mit vorhandener Software werden analysiert, um festzustellen, ob sie das Ergebnis böswilliger Aktivitäten sind. Die verhaltensbasierte Erkennung versucht, zukünftiges Verhalten zu lernen und jedes Verhalten, das nicht erwartet wird, zu blockieren. Sie stützt sich auf die Vorhersage des Netzwerk-Traffics.

Zero-Day-Angriffe verhindern

Zwar kann kein einzelner Ansatz Sicherheitslücken im Code vollständig ausschließen, aber einige Taktiken und Tools können das Risiko minimieren. Zwei der wichtigsten Techniken zur Verhinderung der Ausnutzung von Sicherheitslücken sind Browserisolierung und Firewalls.

Browser-Isolation

Browsing-Aktivitäten wie das Öffnen eines E-Mail-Anhangs oder das Ausfüllen eines Formulars erfordern eine Interaktion mit Code aus nicht vertrauenswürdigen Quellen, hier können Angreifer Sicherheitslücken ausnutzen. Browserisolierung trennt die Browsing-Aktivitäten von den Endgeräten der Nutzer und den Unternehmensnetzwerken, sodass potenziell böswilliger Schadcode nicht auf dem Gerät des Nutzers ausgeführt werden kann. Browserisolierung kann auf drei Arten erfolgen:

  • Remote-Browserisolierung: Webseiten werden auf einem Cloudserver geladen und der Code wird auf diesem Server ausgeführt, weit weg von den Geräten der Nutzer und den internen Netzwerken der Unternehmen.
  • On-Premise-Browserisolierung: Dies funktioniert ähnlich wie die Remote-Browserisolierung, findet aber auf einem intern verwalteten Server statt.
  • Clientseitige Browserisolierung: Webseiten werden immer noch auf dem Gerät des Nutzers geladen, aber Sandboxing (ein Sicherheitsmechanismus, der dafür sorgt, dass Programme separat ausgeführt werden) stellt sicher, dass der Inhalt und der Code vom Rest des Geräts getrennt sind.

Firewall

Eine Firewall ist ein Sicherheitssystem, das den ein- und ausgehenden Traffic auf der Grundlage vorgegebener Sicherheitsrichtlinien überwacht. Firewalls sitzen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken (meist dem Internet), um vor Bedrohungen zu schützen, böswillige Inhalte daran zu hindern, ein vertrauenswürdiges Netzwerk zu erreichen, und sensible Informationen daran zu hindern, das Netzwerk zu verlassen. Sie können in Hardware, Software oder eine Kombination aus beidem eingebaut sein. Durch die Überwachung des Traffics kann eine Firewall den Traffic blockieren, der auf eine Sicherheitslücke abzielt und zu einem Zero-Day-Exploit führen könnte.

Wie schützt Cloudflare vor Zero-Day-Sicherheitslücken?

Remote-Browserisolierung: Die Remote-Browserisolierung von Cloudflare führt die Browsing-Aktivitäten eines Nutzers über Sandboxing in einer überwachten Cloud-Umgebung durch. Da die Browsing-Aktivitäten von den Endgeräten der Nutzer isoliert werden, sind diese Geräte vor Sicherheitslücken wie Zero-Day-Bedrohungen geschützt.

Web Application Firewall (WAF): Die Cloudflare WAF nutzt Bedrohungsdaten und maschinelles Lernen, um neue Bedrohungen automatisch in Echtzeit zu blockieren. Die Bedrohungsdaten stammen aus dem globalen Netzwerk von Cloudflare, das in Spitzenzeiten 93 Millionen HTTP-Anfragen pro Sekunde verarbeitet. Das Ergebnis ist ein beispielloser Schutz vor Zero-Day-Exploits und anderen Angriffen.