Suchen

Definition Zero Day Exploit Was ist ein Zero-Day-Exploit?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Ein Zero-Day-Exploit ist eine besondere Form des Exploits, also des Ausnutzens einer Schwachstelle, bei dem für eine entdeckte Sicherheitslücke noch kein Patch existiert. Ein solcher Exploit lässt sich für sehr gefährliche, weil unbemerkte Zero-Day-Angriffe verwenden, die beispielsweise Rootkits, Remote Access Trojaner (RATs) oder andere Malware verbreiten.

Ein Zero-Day-Exploit nutzt eine bis dato unbekannte Schwachstelle in einem Computersystem aus. Hacker bleiben dadurch beim Angriff auf das System unerkannt.
Ein Zero-Day-Exploit nutzt eine bis dato unbekannte Schwachstelle in einem Computersystem aus. Hacker bleiben dadurch beim Angriff auf das System unerkannt.
(Bild: Pixabay / CC0 )

Der Zero-Day-Exploit nutzt bisher unentdeckte Schwachstellen oder Programmierfehler in Software oder Programmen aus. Seitens des Herstellers existieren für den Exploit noch kein Patch und keine Korrektur, die die Sicherheitslücke schließen, da der Fehler noch nicht bekannt ist. Ein Zero-Day-Exploit kann frühestens nach einem ersten Angriff auf ein System erkannt werden. Oft bleiben Zero-Day-Angriffe jedoch über lange Zeit unbemerkt.

Der Angreifer, der einen Zero-Day-Exploit verwendet, besitzt gegenüber Herstellern und Anwendern einen zeitlichen Vorsprung, der sich ausnutzen lässt, um großen Schaden anzurichten oder eine Vielzahl Systeme unbemerkt zu manipulieren. Ein Zero-Day-Exploit entsteht, da die Person oder Organisation, die die Schwachstelle gefunden hat, sie nicht dem Hersteller meldet, sondern einen Code entwickelt, der die Schwachstelle ausnutzt. In einigen Fällen verkaufen die Entdecker der Sicherheitslücke ihre Erkenntnisse und überlassen die Entwicklung eines Schadcodes den Käufern. Mit Hilfe von Zero-Day-Exploits lassen sich beispielsweise Viren, Trojaner, Würmer, Rootkits und andere Arten von Schadcode verbreiten.

Was macht einen Zero-Day-Exploit so gefährlich?

Die Gefährlichkeit des Zero-Day-Exploit liegt in der Unkenntnis der Schwachstelle begründet. Hacker erhalten dadurch einen zeitlichen Vorsprung für die Ausnutzung der Sicherheitslücke. Oft bleibt ihr Treiben über lange Zeit völlig unbemerkt. Wird die Schwachstelle bekannt, existiert keine Lösung, den Angriff zu verhindern. Auch Antivirensoftware ist nicht in der Lage, auf einen Zero-Day-Exploit wirksam zu reagieren. Softwarehersteller müssen zunächst tätig werden, um einen geeigneten Patch zu entwickeln. Für eine möglichst lange Nutzung des Zero-Day-Exploits, halten Hacker ihn geheim. Zwischen Angreifer und Softwareherstellern entsteht ein Wettlauf, bei dem der Angreifer dank des Zero-Day-Exploits zeitliche Vorteile besitzt.

Ablauf eines Zero-Day-Angriffs

Nutzt ein Angreifer einen Zero-Day-Exploit aus, spricht man von einer so genannten Zero-Day-Attacke. Der Angriff beginnt, sobald der Exploit aktiv zum Einsatz kommt. Oft lassen sich über den Exploit Schadprogramme auf dem angegriffenen System einschleusen. Bleibt der Angriff unbemerkt, sind weitere Systeme über den Zero-Day-Exploit manipulierbar. Selbst wenn der Angriff entdeckt ist, existiert noch kein wirksamer Schutz. Erst wenn die Entwickler einen Patch zum Schließen der Sicherheitslücke liefern, lässt sich der Angriff wirksam abwehren. Ab diesem Zeitpunkt handelt es sich nicht mehr um einen Zero-Day-Exploit. Selbst wenn ein Patch veröffentlicht wurde, kann der Exploit noch über längere Zeiträume Schaden anrichten, da nicht alle Systeme zeitnah mit der Korrektur versehen werden.

Der Markt für Zero-Day-Exploits

Für Zero-Day-Exploits existiert ein eigener Markt, auf dem abhängig von der Art der Schwachstelle und der Anzahl potenziell betroffener Systeme unterschiedliche Preise für die Exploits bezahlt werden. Hacker handeln Zero-Day-Exploits in eigenen Kreisen, bieten sie aber auch Softwareherstellern oder staatlichen Institutionen (Geheimdiensten) an. Denn sowohl staatliche als auch privatwirtschaftliche Organisationen besitzen ein gewisses Interesse an Zero-Day-Exploits. Geheimdienste und das Militär versuchen sich durch Zero-Day-Exploits für einen Cyberwar vorzubereiten oder den Exploit selbst aktiv für eigene Angriffe und Spionage zu verwenden. Softwarefirmen können mit dem Kauf eines Zero-Day-Exploits ihre Produkte absichern, bevor sie angegriffen werden und die Reputation des Unternehmens Schaden nimmt.

Wie kann man sich gegen Zero-Day-Exploits schützen?

Da die Schwachstelle, die der Zero-Day-Exploit ausnutzt, nicht bekannt ist, ist es sehr schwer potenziell gefährdete Systeme wirksam zu schützen. Es lassen sich jedoch einige präventive Maßnahmen ergreifen, die das Risiko für eine Zero-Day-Attacke minimieren. So sollte die Datenübertragung in den Netzwerken abgesichert und verschlüsselt erfolgen. Installierte Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) sorgen für zusätzlichen Schutz, da sie auf ungewöhnliche Kommunikationsmuster reagieren und Administratoren informieren oder selbständig Abwehrmaßnahmen ergreifen. Da potenziell jede Software ein Einfallstor für Zero-Day-Angriffe darstellt, sollten Anwender die Zahl der Programme auf ihren Systemen möglichst klein halten. Nicht benötigte Software ist vom System zu entfernen. Weiterhin ist darauf zu achten, dass alle Programme und Betriebssysteme auf dem neuesten Stand sind.

(ID:44913570)

Über den Autor