Zero-Day-Exploit

Aus IT-Forensik Wiki

Zero-Day-Exploit

Als Zero-Day-Exploit wird ein Exploit bezeichnet, der eingesetzt wird, um eine Schwachstelle auszunutzen, bevor die Sicherheitslücke vom Hersteller entdeckt und geschlossen wurde. Hersteller haben dadurch keine keine Zeit (null Tage – zero day) um eine Sicherheitsücke zu schließen, bevor eine Gefahr entsteht. Zero-Day-Exploits können sowohl in Soft- als auch Hardware auftreten.

Mit Hilfe eines Zero-Day-Exploits lässt sich beispielsweise Schadsoftware verbreiten, um ein anfälliges System zu sabotieren oder auf dem anfälligen System Informationen abzugreifen.

Zero-Day-Angriffe sind aufgrund des zeitlichen Vorsprungs der Angreifer und somit der Unkenntnis der Hersteller besonders gefährlich. Ein Zero-Day-Exploit kann frühestens nach einem ersten Angriff erkannt werden. Laut einer Analyse des amerikanischen Think Tank RAND Corportation vergehen zwischen Entstehung eines Zero-Day-Exploits und dessen Behebung im Mittel 7 Jahre.


Ablauf eines Zero-Day-Angriffs

  1. Ein Hersteller programmiert Software die versehentlich oder gar wissentlich eine Schwachstelle enthält, über die Angreifer Informationen abgreifen oder das Systeme manipulieren können.
  2. Ein Angreifer findet diese Sicherheitslücke vor dem Hersteller oder nutzt diese bevor sie geschlossen wird.
  3. Der Hersteller wird auf die Sicherheitslücke aufmerksam (bspw. durch eine Schadensmeldung) und schreibt einen Patch, um die Sicherheitslücke zu schließen.


Schutzmöglichkeiten und Gegenmaßnahmen

Da die Schwachstelle, die ein Zero-Day-Exploit ausnutzt im Vorfeld nicht bekannt ist, ist es sehr schwer entsprechende Systeme wirksam zu schützen. Entsprechende Angriffe lassen sich jedoch durch Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) minimieren bzw. aufspüren, indem die zuvor genannten Systeme auf ungewöhnliche Kommunikationsmuster reagiert und Administratoren informiert oder direkt automatisiert Gegenmaßnahmen durchführen.

Sicherheitsexperten versuchen vorbeugend entsprechende Sicherheitslücken aufzuspüren und die Hersteller entsprechend zu informieren.


Beispiele für Zero-Day-Exploits

Die vermutlich durch hohe Medienpräsenz bekanntesten Hardware Zero-Day-Sicherheitslücken der vergangenen Jahre sind die in Form eines Designfehlers in Prozessoren entstandenen Sicherheitslücken Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753 und CVE-2017-5715).

Eine der vermutlich schwerwiegendsten Zero-Day-Sicherheitslücken der vergangenen Jahre ist die im Dezember 2019 in den Citrix Produkten „Citrix Application Delivery Controller“, Gateway und SD-WAN WANOP bekannt gewordene Sicherheitslücke mit der Kennung CVE-2019-19781. Potentiell betraf diese Sicherheitslücke 80.000 Unternehmen. Der Hersteller Citrix hat über einen Monat für die Veröffentlichung eines Sicherheitsupdates zum Schließen der Sicherheitslücke auf sich warten lassen (vgl. Heise).

Das Unternehmen Google pflegt im Rahmen des „Project Zero“ eine 120 Einträge lange „0day “In the Wild““-Liste die die größten seit dem Jahre 2014 bekannt gewordenen Zero-Day-Sicherheitslücken der Hersteller Adobe, Apple, Cisco, Facebook, Ghostscript, Google, IBM, Linux, Microsoft, Mozilla, Oracle und Trend Micro enthält.


Bezug zu Datenbanken

Da Zero-Day-Exploits grundsätzlich in jeglicher Software auftreten können sind natürlich auch Datenbanksysteme anfällig für Zero-Day Exploits. Dabei existieren sowohl Zero-Day-Exploits für die Datenbanksysteme selbst als auch für entsprechende Web-Anwendungen, die auf Datenbanken zurückgreifen wodurch beispielsweise SQL-Injektion-Angriffe möglich sind.

Grade in den beliebten und somit weit verbreiteten Produkten WordPress und Joomla werden immer wieder Zero-Day-Sicherheitslücken gefunden die Anfälligkeiten für SQL-Injektion ausnutzen.


Weblinks

  1. de.wikipedia.org - Exploit
  2. ionos.de - Zero-Day-Exploit
  3. rand.org - Zero Days, Thousands of Nights
  4. de.wikipedia.org - Meltdown_(Sicherheitslücke)
  5. de.wikipedia.org - Spectre_(Sicherheitslücke)
  6. heise.de - Gefährliche Sicherheitslücke: Alle Updates für Citrix-Schwachstelle erschienen
  7. docs.google.com - 0day "In the Wild"