Was ist eine Zero-Day-Schwachstelle?
Eine Zero-Day-Schwachstelle ist eine unbekannte Sicherheitslücke oder Software-Schwachstelle, die ein Bedrohungsakteur mit böswilligem Code ins Visier nehmen kann. Der Begriff „Zero-Day“ wird verwendet, weil der Software-Anbieter nichts von der Software-Schwachstelle wusste und „0“ Tage (engl. „zero days“) Zeit hatte, um an einem Sicherheits-Patch oder Update zum Beheben des Problems zu arbeiten.
Generell werden Zero-Day-Schwachstellen sofort nach der Erkennung zur CVE-Liste (Common Vulnerabilities and Exposures) hinzugefügt. CVE ist ein Verzeichnis der Definitionen zu allen öffentlich bekannt gegebenen Cybersicherheitsschwachstellen.
Die im CVE erfassten Definitionen sollen den Datenaustausch über separate Schwachstellenressourcen (Tools, Datenbanken und Services) hinweg vereinfachen. CVE-Einträge umfassen eine Kennung, eine Beschreibung und mindestens eine öffentliche Referenz.
Was ist ein Zero-Day-Exploit?
Ein Zero-Day-Exploit ist die Technik oder Taktik, mit der ein böswilliger Akteur die Schwachstelle zum Angreifen eines Systems ausnutzt.
Was ist ein Zero-Day-Angriff?
Ein Zero-Day-Angriff erfolgt, wenn ein Hacker Malware zum Ausnutzen der Software-Schwachstelle einschleust, bevor der Software-Entwickler die Schwachstelle patchen konnte. Zero-Day-Angriffe sind für Unternehmen überaus gefährlich, weil sie unbekannt sind und nur sehr schwer erkennbar sein können, was sie zu einem ernsten Sicherheitsrisiko macht. Sie sind vergleichbar mit einem Dieb, der sich durch eine Hintertür schleicht, die versehentlich offen gelassen wurde.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenBeispiele für Zero-Day-Schwachstellen
Nachfolgend sind einige bekannte Schwachstellen aufgeführt, die in den letzten Jahren entdeckt wurden:
Kaseya-Angriff
Am Freitag, dem 02. Juli 2021, gelang es den Ransomware-Betreibern REvil, die Kaseya VSA-Software zu kompromittieren, die zum Überwachen und Verwalten der Infrastruktur von Kaseya-Kunden verwendet wird. Die Ransomware-Betreiber nutzten Zero-Day-Schwachstellen aus, um ein böswilliges Update bereitzustellen, durch das der öffentlichen Erklärung von Kaseya zufolge etwas weniger als 60 Kaseya-Kunden und 1.500 nachgelagerte Unternehmen kompromittiert wurden. Mehr erfahren >
SonicWall-VPN-Schwachstelle
Am 04. Februar 2021 gab das Product Security Incident Response Team (PSIRT) von SonicWall eine neue Zero-Day-Schwachstelle (CVE-2021-20016) bekannt, die die SMA-Geräte (Secure Mobile Access) des Unternehmens betrifft. In der Dokumentation gab SonicWall an, dass Produkte der SMA 100-Serie von dieser neuen Schwachstelle betroffen und Aktualisierungen erforderlich sind, wenn 10.x-Firmware ausgeführt wird. SonicWall machte keine Angaben dazu, ob und inwiefern ältere SRA-VPN-Geräte, die sich noch in Produktionsumgebungen befinden, von diesem Exploit betroffen sind. Mehr erfahren >
MSRPC-Drucker-Spooler-Weitergabe (CVE-2021-1678)
Am 12. Januar 2021, einem Patch-Dienstag, veröffentlichte Microsoft ein Patch für CVE-2021-1678. Diese bedeutende, von CrowdStrike®-Analysten aufgedeckte Schwachstelle ermöglicht einem Angreifer die Weitergabe von NTLM-Authentifizierungssitzungen an eine kompromittierte Maschine und die Nutzung einer Drucker-Spooler-MSRPC-Schnittstelle zur Remote-Ausführung von Code auf der kompromittierten Maschine.
Zerologon
Am 11. August 2020 veröffentlichte Microsoft ein Sicherheits-Update mit einem Patch für eine kritische Schwachstelle im NETLOGON-Protokoll (CVE-2020-1472), die Forscher von Secura aufgedeckt hatten. Da zunächst keine technischen Details veröffentlicht wurden, wurde der CVE im Sicherheits-Update wenig Beachtung geschenkt, obwohl ihr der maximale CVSS-Wert 10 zugeordnet wurde.
Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf einen Domänencontroller, eine anfällige Netlogon-Sitzung einzurichten und sich dadurch die Berechtigungen eines Domänenadministrators zu verschaffen. Die Schwachstelle ist besonders kritisch, weil die einzige Anforderung für eine erfolgreiche Ausnutzung darin besteht, eine Verbindung mit einem Domänencontroller herstellen zu können.
Unsere technische Analyse zu Zerologon lesen
NTLM-Schwachstelle
Am Patch-Dienstag im Juni 2019 veröffentlichte Microsoft Patches für CVE-2019-1040 und CVE-2019-1019 – zwei Schwachstellen, die Analysten von Preempt (jetzt CrowdStrike) aufgedeckt hatten. Die kritischen Schwachstellen bestehen aus drei Logikfehlern in NTLM (dem proprietären Authentifizierungsprotokoll von Microsoft). Den Analysten von Preempt war es gelungen, alle wesentlichen NTLM-Schutzmechanismen zu umgehen.
Diese Schwachstellen ermöglichen Angreifern die Remote-Ausführung von böswilligem Code auf jeder Windows-Maschine bzw. die Authentifizierung bei jedem HTTP-Server, der Windows Integrated Authentication (WIA) unterstützt (z. B. Exchange oder ADFS). Alle Windows-Versionen, bei denen dieser Patch nicht angewendet wurde, sind anfällig.
Weitere Informationen dazu, wie diese Schwachstelle entdeckt wurde
Stuxnet
Einer der bekanntesten Zero-Day-Angriffe ist Stuxnet – der Wurm, der dem Atomprogramm des Iran wahrscheinlich enorm geschadet hat. Dieser Wurm nutzte vier unterschiedliche Zero-Day-Schwachstellen im Microsoft Windows-Betriebssystem aus.
So schützen Sie sich vor Zero-Day-Angriffen
Für die effektive Erkennung und Abwehr von Zero-Day-Angriffen bedarf es einer koordinierten Verteidigung, die sowohl Präventionstechnologie als auch einen durchdachten Reaktionsplan für den Fall eines Angriffs umfasst. Unternehmen können sich auf diese verborgenen und schädlichen Ereignisse vorbereiten, indem sie eine umfassende Lösung für Endgerätesicherheit implementieren, die verschiedene Technologien wie Virenschutz der nächsten Generation (NGAV), endpunktbasierte Detektion und Reaktion (EDR) und Bedrohungsanalysen kombiniert.
Da es in der Umgebung eines jeden Unternehmens Software mit Schwachstellen geben kann, sind Kompromittierungsversuche praktisch unvermeidbar. Daher ist es wichtig, auf Endgerätesicherheit mit Funktionen zum Schutz vor Exploits und Aktivitäten nach einer Ausnutzung zu setzen.
Zur Optimierung ihrer Sicherheitsvorkehrungen sollten Unternehmen die beste Präventionstechnologie am Angriffspunkt implementieren, gleichzeitig aber auch einen Plan für das Worst-Case-Szenario haben. Falls ein Angreifer es dann doch ins Netzwerk schafft, verfügt das Sicherheitsteam über die nötigen Tools, Prozesse und Technologien, um den Vorfall eindämmen zu können, bevor echter Schaden entsteht.
Mit dem Endgeräteschutz von CrowdStrike Falcon® können Unternehmen Zero-Day-Exploits am Angriffspunkt stoppen. Dafür kommen Machine Learning und Verhaltensanalysen zum Einsatz. Die Falcon-Plattform umfasst auch eine automatische Erkennungs- und Präventionslogik für Aktivitäten nach der Ausnutzung, damit Sicherheitsteams sich unverzüglich ein Bild vom Angriff machen können – selbst wenn er andere Sicherheitsmechanismen umgeht.
Im Video unten können Sie sich ansehen, wie die Falcon-Plattform einen Zero-Day-Angriff beim ersten Anzeichen stoppt:
Falcon erkennt Angriffsindikatoren (Indicators of Attack, IOAs) nicht nur, sondern umfasst auch Exploit-Schutz-Technologie, um eine erfolgreiche Ausnutzung des zugrunde liegenden Betriebssystems zu verhindern. Bedrohungsakteure werden am Einsatz gängiger Ausnutzungstechniken gehindert, da die Ausführung von Exploit-Code in Echtzeit auf dem Endgerät gestoppt wird, wodurch Zero-Day-Angriffe mit zuvor unentdeckter Malware blockiert werden.
Die mit Falcon eingesetzte Kombination aus IOA-basierter Präventionstechnologie und Exploit-Abwehrtechniken sorgt für wirkungsvollen Schutz vor unbekannten Zero-Day-Bedrohungen.
Wenn Sie mehr über CrowdStrike® Falcon erfahren und eine kostenlose Testversion anfordern möchten, klicken Sie auf die Schaltfläche unten:
