Was ist ein Zero-Day-Angriff? - Definition und ErlÀuterung

Zero-Day-Schwachstellen machen es unmöglich, eine angemessene Bereitschaftsstufe fĂŒr den Cyberangriff zu haben. Es macht den möglichen Invasionsvektor absolut zufĂ€llig und wird Sie wahrscheinlich ziemlich hart treffen, wenn Sie ignorieren, dass etwas passiert.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Zero-Day-Angriffe und Zero-Day-Exploits. Was sind Sie? | Gridinsoft

Zero-Day-Exploit

October 02, 2022

Das, wovor alle Menschen am meisten Angst haben, ist Spannung. Wenn es um Cybersicherheit geht, ist das Unvorhersehbarste, dem Sie jemals begegnen können, ein Zero-Day-Angriff. Man weiß nie, wo sie auftauchen und kann nicht bereit sein zu reagieren.

Warum sind Zero-Day-Schwachstellen so beĂ€ngstigend und gefĂ€hrlich? Auf den ersten Blick sagen einige, dass sie sich kaum oder gar nicht von den anderen Bedrohungen unterscheiden. Und sobald sie der Öffentlichkeit enthĂŒllt werden, verflĂŒchtigt sich ihre hauptsĂ€chliche Andersartigkeit. Andere Leute mögen das Gegenteil tun und sagen, dass es keinen Grund gibt, ĂŒberhaupt Sicherheit zu schaffen, da Zero-Day-Angriffe gleichermaßen null die erstklassige EDR-Lösung und ein Hacker sind Version eines regulĂ€ren Antivirus-Tools. Wo ist also der Vermittler? Wo ist also der Vermittler? Und schließlich, wie können Sie sich und Ihr Unternehmen vor Zero-Day-Angriffen schĂŒtzen, wenn ĂŒberhaupt möglich?

Was ist ein Zero-Day-Angriff?

Zero-Day-Schwachstellen oder Zero-Day-Exploits sind die SicherheitslĂŒcken in den Programmen, die noch nie aufgedeckt wurden. Genau, es ist ihre Hauptgefahr. WĂ€hrend bekannte VerstĂ¶ĂŸe in den spezialisierten Quellen in allen Details aufgelistet und beschrieben werden, können Sie nur erwarten, wo die Zero-Day-Bedrohung liegt. Cybersicherheitsanalysten aus der ganzen Welt versuchen, eine Lösung zu schaffen, die dieses Problem zumindest verhindern kann. In der Zwischenzeit starten Softwareanbieter Bug-Hunter-Programme, bei denen initiativ tĂ€tige Benutzer eine betrĂ€chtliche Geldsumme erhalten, um die SicherheitslĂŒcken zu finden.

Zero-Day-Verletzungslebenszyklus
Der Lebenszyklus einer Zero-Day-Schwachstelle

The final effects of zero-days breach are the same as in any other case of vulnerability exploitation. Cybercriminals use the breaches to escalate privileges or to execute the code they need remotely. That gives them advanced capabilities for performing the intervention into the corporation they attacked. One may say exploited meaning - whether they’re zero-day or not - is the basis for the cyberattack. Not each one is committed to the use of them, but their share grows continuously.

But what is the danger of a zero-day attack? Is there a reason to worry so much if it grants the crooks the same abilities as a regular exploit? Yes, if you use a security solution of any sort, and know the price of data leak. Generally, when we talk about the EDR solutions, they apply different realizations of trust policy. The specialist who sets up the endpoint protection chooses which apps to trust and must be checked twice. You can set it up in a paranoid manner - up to a quasi-zero-trust model, but that will slow down the operations. Sure, there is an option “not to choose at all” - using a proper zero-trust security system, which will not affect the performance so much. However, they are much more expensive.

Zero-Day-Angriffsdefinition

Zero-Day-Angriffe sind anscheinend die Cyberangriffe, die die Nutzung von Zero-Day-Schwachstellen beinhalten. Der Schweregrad dieser Angriffe und die Auswirkungen auf das Ziel können unterschiedlich sein, aber die Hauptmerkmale solcher Angriffe sind ihre Unvorhersehbarkeit. WĂ€hrend Sie Ihr System oder Netzwerk mit bekannten Sicherheitsverletzungen oder Designfehlern vor klassischen Angriffen schĂŒtzen können, ist es unmöglich, den Zero-Day-Angriff vorherzusagen.

Die genaue Angriffs-Roadmap kann unterschiedlich sein. Gauner können die aufgetretene Verletzung nutzen, um Berechtigungen einmalig zu eskalieren und ihre Malware auszufĂŒhren. Eine weitere Option, die hauptsĂ€chlich dann verwendet wird, wenn BetrĂŒger versuchen, das gesamte Netzwerk zu infizieren oder die Advanced Persistent Threat einzusetzen, besteht darin, ein neues Konto mit Administratorrechten auf dem lokalen Computer zu erstellen . Danach verstecken Gauner dieses Konto normalerweise und verwenden es gleichzeitig mit der Verwendung der ursprĂŒnglichen. Mit dem Administratorkonto können sie tun, was sie wollen – vom Sammeln der Informationen vom infizierten PC bis zum Brute-Force auf andere Computer im Netzwerk oder sogar den DomĂ€nencontroller.

Genau in der Phase, in der Brute-Force- oder Malware-Verbreitung im Netzwerk stattfindet, ist es ziemlich einfach, die Malware-PrĂ€senz zu erkennen, wenn der Sicherheitsspezialist weiß, dass etwas vor sich geht. Kriminelle, die mehr tun, als nur Dateien mit Ransomware zu verschlĂŒsseln und das Lösegeld zu verlangen, wissen wie sie die Möglichkeit umgehen können, entdeckt zu werden. Verschleierung, Tarnung der AktivitĂ€t als Teil eines legitimen Programms, Ablenkung schaffen – dies sind nur die grundlegenden Aktionen, die Gauner anwenden können, um ihr Ziel zu erreichen.

Verhinderung von Zero-Day-Angriffen: Gefahren im Voraus erkennen

Wie bei allem, was mit den Funktionen einer Anwendung zu tun hat, können Sie Zero-Day-Schwachstellen durch die Codeanalyse finden. Die Hauptfrage ist, wer diese Analyse durchfĂŒhrt – Gauner, Entwickler oder Bughunter. Wie sich herausstellte, haben Cyberkriminelle und Bug-Hunter eine viel materiellere Belohnung fĂŒr ihre AktivitĂ€ten bei der Exploit-Suche. Erhalten Sie erstens Lösegeld und eine große Portion Geld fĂŒr den Verkauf der Daten im Darknet und zweitens werden Sie fĂŒr jede gefundene Verletzung bezahlt. In der Zwischenzeit erhalten die Entwickler nur die immateriellen Dinge - wie die Anerkennung ihrer Software als sicher zu verwenden. Reputationsverluste, die dann zum Verlust der Benutzer fĂŒhren, fĂŒhlen sich nicht so genau an wie ein BĂŒndel Banknoten.

Erkennung von Zero-Day-Schwachstellen
Die Art und Weise, wie Zero-Day-Schwachstellen erkannt werden

Die grĂŒndliche Analyse, die erforderlich ist, um die potenzielle Schwachstelle zu erkennen, reicht nicht aus. Das Starren auf die Codezeilen zeigt nicht, wie genau Gauner die Schwachstelle ausnutzen können und welche Vorteile sie bringt. Deshalb ist das Instrumentarium fĂŒr KĂ€ferjĂ€ger und Hacker fast gleich. Experten, die mit diesem Zeug arbeiten, kennen die primĂ€ren „Stresskonzentratoren“ – Orte, an denen das Programm auf das Netzwerk zugreift oder nach erweiterten Privilegien fragt, sind die hĂ€ufigsten Orte der Verletzung. Trotzdem reicht es nicht aus, die LĂŒcke zu entdecken und zu bestimmen, welche Gauner sie verwenden können, um sie in freier Wildbahn zu verwenden. Eine Armee von Programmierern aus den Darknet-MarktplĂ€tzen ist bereit, eine einzigartige Exploit-Malware fĂŒr nur 10 US-Dollar zu schreiben, und normale Antivirenprogramme können sie mit signaturbasierten Erkennungen kaum stoppen.

Warum treten Schwachstellen auf?

Cybersicherheitsanalysten haben keinen einzigen Grund fĂŒr das Auftreten von Schwachstellen berĂŒcksichtigt. Die meisten von ihnen sind die unbeabsichtigten Fehler - solche erscheinen aus UnprofessionalitĂ€t oder dem Mangel an Kollegen, um die Codebasis zu vergleichen. Manchmal erstellen die Entwickler eine ausnutzbare Funktion, um einige aktuelle Anforderungen zu erfĂŒllen. Zum Beispiel gibt es eine Möglichkeit, die Windows-Registrierung aus der Ferne zu bearbeiten, was in den 90er Jahren ziemlich nĂŒtzlich war. Zur Zeit von Windows 95/98 gab es viele GrĂŒnde, etwas in der Registrierung einzurichten, und die Möglichkeit, dies fĂŒr alle Computer mit einem Klick zu tun, war fĂŒr Systemadministratoren ein Chaos. Leider machten sich Cyberkriminelle diese „Funktion“ schnell zunutze, bis diese Funktion standardmĂ€ĂŸig auf „deaktiviert“ gesetzt wurde. Manchmal aktivieren sie es jedoch immer noch - es ist nĂŒtzlich, um einen multifunktionalen Backdoor-Zugriff zu erstellen.

In einigen seltenen FĂ€llen werden die VerstĂ¶ĂŸe absichtlich erstellt, hauptsĂ€chlich um sie fĂŒr die BedĂŒrfnisse des Entwicklers zu verwenden. Eine solche Verletzung ist selten und ihre Anwesenheit ist normalerweise ziemlich schwer zu erkennen. Der Skandal explodiert jedoch exponentiell, als er aufgedeckt wird. WĂ€hrend hĂ€ufige Schwachstellen fĂŒr den Ruf des Unternehmens nicht so kritisch sind, sind vorsĂ€tzliche Schwachstellen wie eine Atombombe fĂŒr den Ruf des Unternehmens.

Die Liste der am hÀufigsten ausnutzbaren Programme:

  • Microsoft Outlook
  • Microsoft Word
  • Microsoft-Excel
  • Adobe Premiere
  • Adobe Creative Cloud
  • Adobe Photoshop
  • Apache Struts 2
  • Pulse Connect Secure

Beispiele fĂŒr Zero-Day-Exploits

Die Welt der Cybersicherheit war Zeuge zahlreicher Beispiele fĂŒr Zero-Day-Exploits. Einige von ihnen wurden erfolgreich von Cyberkriminellen verwendet, aber die meisten wurden entdeckt und behoben, bevor die Gauner es taten. Sehen wir uns die berĂŒchtigtsten FĂ€lle an.

  • Log4 Shell. Eine berĂŒchtigte Schwachstelle, die am Rande des Jahres 2022 auftauchte, und wurde von Cyberkriminellen bei verschiedenen Angriffen erfolgreich eingesetzt. Die Schwachstelle im Protokollierungsmechanismus ermöglichte es dem Angreifer, den Server zu zwingen, den schĂ€dlichen Code auszufĂŒhren, wĂ€hrend er die Protokolle ausliest. Gauner konnten diesen Code in die Protokolle einfĂŒgen, wĂ€hrend sie mit Java-basierten Anwendungen interagierten.
  • Obwohl die anfĂ€ngliche Schwachstelle - CVE-2021-44228 – wurde mit einem Sofort-Patch behoben, der andere erschien in diesem Patch – CVE-2021-45046. Diese Schwachstelle hat bereits Hunderte von Unternehmen zu Geldverlusten gefĂŒhrt und wird wahrscheinlich noch mehrere Jahre kursieren. Dennoch verdient es absolut das CVSS-VerhĂ€ltnis von 10/10.
  • LinkedIn durchgesickert durch CVE-2021-1879. Die Schwachstelle in einer Kette von Apple-Softwareprodukten, insbesondere iOS 12.4-13.7 und watchOS 7.3.3, ermöglichte die universelle Cross-Site-Scripting (XSS). Dieser Verstoß wurde genutzt, um die Informationen von etwa 700 Millionen Benutzern zu stehlen. Ein großer Teil davon – 500 Millionen – wurde zum Verkauf angeboten. Zu den durchgesickerten Informationen gehörten E-Mail-Adressen, EintrĂ€ge in sozialen Medien, Telefonnummern und Geolokalisierungsdetails. Solche Informationen können fĂŒr Spear-Phishing mit der Verwendung gefĂ€lschter Profile in sozialen Netzwerken Ă€ußerst nĂŒtzlich sein.
  • Zoom Video RCE-Schwachstelle. Die LĂŒcke, die es ermöglichte, den Code auf den mit einer Konferenz verbundenen GerĂ€ten auszufĂŒhren, wurde wĂ€hrend der ersten Welle der Coronavirus-Pandemie aufgedeckt und verwendet. Seit Zoom zu einer Ă€ußerst beliebten Lösung fĂŒr Videokonferenzen und Bildung wurde, schien die potenzielle AngriffsflĂ€che nahezu unbegrenzt. CVE-2020-6110 berĂŒhrte die Zoom-Versionen 4.6.10 und frĂŒher.

Wie kann man Zero-Day-Exploits und -Angriffe vermeiden?

Das Fehlen der FĂ€higkeit zu erwarten, woher die Gefahr kommen kann, macht die meisten RatschlĂ€ge viel weniger effektiv. Wenn Sie wissen, wo der Feind versuchen wird, durchzubrechen, können Sie vermuten, wie er dies tun und wie er sich verteidigen wird. Den 0-Tagen mit altbekannten Methoden entgegenzuwirken gleicht mittlerweile eher dem Kampf gegen WindmĂŒhlen. Gerade gegen diese Art von Bedrohungen können Sie nicht viel tun. Daher listen wir nur die effektivsten Methoden zur Abwehr von Zero-Day-Malware auf.

  • Wenden Sie erweitertes EDR mit Zero-Trust-Richtlinie an. Viele EDR-Lösungen bieten das flexible Modell, bei dem Sie festlegen, welchen Anwendungen Sie vertrauen. Es gibt jedoch keinen anderen Weg als den paranoiden im Schutz vor Zero-Day-VerstĂ¶ĂŸen. Wenn Sie sicher sein wollen, dass weder bekannte Programme noch seltsame Dinge von GitHub Teil des Angriffs werden, ist es besser, jedes einzelne mit maximaler Sorgfalt zu kontrollieren. Fast 74 % von 0 -day-bezogene Cyberangriffe haben die „normalen“ Antivirenprogramme erfolgreich umgangen.
  • Aktualisieren Sie Ihre Software so oft wie möglich. Zero-Day-VerstĂ¶ĂŸe werden nach ihrer Entdeckung zu regulĂ€ren VerstĂ¶ĂŸen, verlieren jedoch nie ihre Wirksamkeit. Wie aktuelle Statistiken besagen, waren im ersten Quartal 2021 immer noch fast 25 % der Unternehmen anfĂ€llig fĂŒr den WannaCry-Virus – eine Malware, die seit ihrem Ausbruch im Jahr 2017 weltweit bekannt wurde. Unternehmen verzögern die Software-Updates aus verschiedenen GrĂŒnden – Hardware-InkompatibilitĂ€t, Beschwerden ĂŒber die BenutzeroberflĂ€che neuer Versionen und die Gesamtleistung der App. Es ist jedoch besser, diese Probleme in Kauf zu nehmen oder andere Software zu finden, als weiterhin veraltetes Zeug zu verwenden, das leicht ausgenutzt werden kann.