Eine Zero-Day-Attacke ist ein Angriff, der Fehler in einer Software ausnutzt (Englisch „to exploit“), die nicht allgemein bekannt sind und für die es noch keine Sicherheits-Updates gibt.
Es hat dabei nichts mit der Anzahl an Tagen zu tun; Zero-Day-Schwachstellen können bereits sehr lange existieren, aber nur denjenigen bekannt sein, die diese Schwachstelle ausnutzen. Deshalb können Softwareentwickler das Problem erst anfangen zu beheben, wenn es für viele bereits zu spät ist und Systeme befallen sind.
Ein Zero-Day-Exploit gilt nicht mehr als Zero-Day, sobald es ein Sicherheitsupdate gibt
Zero-Day-Bugs können schlecht verhindert oder vorgebeugt werden. Das funktioniert nur, wenn der Fehler in irgendeiner Weise feststellbar ist oder wenn es möglich ist, streng einzuschränken, was in einem bestimmten System ausgeführt werden darf. Aber selbst das kann häufig nicht helfen.
In einigen Fällen entstehen Zero-Day-Schwachstellen auch durch Reverse Engineering, eine Methode, bei der sich ein potenzieller Hacker einen neuen Sicherheitspatch ansieht und herausfindet, welche Änderungen der Softwareentwickler vorgenommen hat. In diesem Fall ist jeder, der noch auf der alten Version der Software ist (vor dem Sicherheitspatch) gefährdet. Meistens treten solche Fehler nach der Bereitstellung einer völlig neuen Version auf.
Nicht zuletzt deshalb ist es sinnvoll, ein verfügbares Update durchzuführen, denn so schützt man sich vor dieser Gefahr und sorgt für mehr Sicherheit.
Die Zeit, die von der Erkennung einer offensichtlichen Schwachstelle bis zur Veröffentlichung des Patches verstreicht, wird als Zeitfenster der Verwundbarkeit (Window of Vulnerability – WoV) bezeichnet. Bis zur Bereitstellung des Patches kann diese Schwachstelle dann ausgenutzt werden.
Wenn ein Exploit, der eine Schwachstelle ausnutzt, erstellt wurde, bevor der Softwareentwickler von der Schwachstelle erfährt, wird die Schwachstelle als Zero-Day-Schwachstelle bezeichnet. Ein Angriff, der die Schwachstelle ausnutzt, ist dann eine Zero-Day-Attacke.
WoV (Window of Vulnerability) – Zeitfenster der Verwundbarkeit
An dieser Stelle ist zu betonen, dass das WoV oft in der Größenordnung von wenigen Tagen liegt. Die tatsächliche Dauer der Bedrohung kann aber in vielen Fällen deutlich länger sein, oft bis zu mehrere Wochen oder Monate.
Das Problem besteht darin, dass viele Organisationen nicht in der Lage sind, den Patch schnell genug zu installieren. Grund dafür ist, dass vor der Installation gründliche Tests gemacht werden müssen, ob der Patch mit den bestehenden Systemen kompatibel ist oder das ganze System (online oder offline) lahmlegen könnte.
Infolgedessen gibt es auch einige Monate nach der Veröffentlichung des Patches noch viele Systeme/Websites im Netz, die anfällig bleiben. Dadurch verlängert sich logischerweise die Zeit, in der es möglich ist, eine Zero-Day-Attacke auf ein bestimmtes System durchzuführen, der diese spezifische Hacking-Schwachstelle ausnutzt.
Wie kann man sich vor einem Zero-Day-Exploit schützen?
Bestimmte präventive Verhaltensweisen können den Missbrauch von Zero-Day-Schwachstellen verhindern. So wird zum Beispiel für ein größeres Software-Update auf eine neue Version gewartet, bei der Sicherheitspatches veröffentlicht werden.
Dies wird häufig bei CMS (Content-Management-System) wie WordPress so gehandhabt: anstatt ein Update durchzuführen, wartet man auf den ersten großen Sicherheitspatch.
Das ist besonders wichtig, wenn mehrere Personen im System Zugang zu höheren Funktionen haben. Es ist unwahrscheinlich, dass jemand ohne Administratorrechte dazu in der Lage wäre, einen groben Sicherheitsmangel herbeizuführen. Meistens ist das Ziel der Zero-Day-Attacke die Installation von Software, die erst Admin-Zugriff gewährt oder auch verschiedene Erweiterungen/Plugins installiert.
Eine weitere Art der Prävention ist die Datenverwaltung, nämlich bestimmte Schreibbeschränkungen und Änderungen an wichtigen Teilen der Systems. Es ist sehr unwahrscheinlich, dass jemand Kerndateien ohne Aktualisierung ändern kann. Der Administrator kann sie mithilfe von Dateiattributen „sperren“.
Dafür sorgen in der Regel verschiedene Sicherheitserweiterungen, die auch dank Funktionen wie eine Firewall, Kern-Dateien-Schutz, IP-Sperren aus unbekannten Quellen, etc. zu einer erhöhten Sicherheit führen.
Einige Unternehmen motivieren sogar mit einer finanziellen Belohnung. Dazu gehört z.B. Facebook, das je nach Gefahr und Schwierigkeit des gefundenen Bugs belohnt.
Die zuverlässigste Methode, Daten vor den meisten Angriffen zu schützen, sind regelmäßige Backups durch Sicherung auf externe Cloud und Lokal-Speicher. Dadurch hat man immer Backups, die im Falle eines Problems verwendet werden können und auf die man in kürzester Zeit ohne großen Kostenaufwand zurückgreifen kann.
Maßnahmen gegen die erfolgte Zero-Day-Attacke
Es liegt auf der Hand, dass selbst wenn eine Software wie WordPress über ein Patch-Management verfügt und den Patch sofort nach seiner Veröffentlichung bereitstellen kann, sie immer noch nicht ausreichend geschützt sein wird.
Es bringt nichts, wenn das Sicherheits-Update vorhanden ist, aber nicht auf der Website installiert ist. Während der Zeit ohne Update ist man in Gefahr.
Außerdem kann die Zeit, die von der Entdeckung einer Schwachstelle bis zur Bereitstellung eines Patches vergeht, einfach zu lang sein. So wie Entwicklungsteams versuchen, eine Anwendung frei von Bugs zu halten, versuchen Hacker, eine Schwachstelle in der Anwendung zu finden und für eigene Zwecke zu missbrauchen.
Schlussgedanke
Normale Updates können nicht vor Zero-Day-Angriffen schützen. Es muss regelmäßig überwacht werden, was in der internationalen Welt der Internetsicherheit passiert. Wenn ein Zero-Day-Exploit bekannt wird kann ein guter Support-Dienst dann sofort einschreiten.
Mit Sofortmaßnahmen wie z.B. der Abspaltung der befallenen Software, lässt sich außerdem Zeit gewinnen, bis ein Update vom Hersteller verfügbar ist. Dieses wird anschließend eingespielt, um das Schlimmste zu verhindern.
