Was ist ein Zero-Day-Exploit?

Zero-Day-Exploits sind eine Art von Malware, die Schwachstellen im Softwarecode ausnutzt, um einen Cyberangriff durchzuführen, der nur schwer entdeckt werden kann. Die Intel vPro® Plattform enthält integrierte, hardwarebasierte Sicherheitsfunktionen, die zum Schutz vor Zero-Day-Angriffen beitragen.

Zero-Day-Exploits: ein Überblick

  • Zero-Day-Schwachstellen sind Schwachstellen im entwickelten Code.

  • Zero-Day-Exploits nutzen diese Schwachstellen mit Viren und Malware aus.

  • Wenn Hacker einen Zero-Day-Exploit ausnutzen, können sie einen Zero-Day-Angriff starten, der das System kompromittieren kann, bevor ein Patch erstellt oder angewendet werden kann.

  • Antivirensoftware kann bekannte Malware blockieren, allerdings ist Zero-Day-Malware neu, was bedeutet, dass ihre Signatur möglicherweise nicht erkannt wird.

  • Die Hardware-kompatiblen Sicherheitsfunktionen der Intel vPro® Plattform können zum Schutz vor Zero-Day-Angriffen beitragen.

author-image

Von

Definition von Zero-Day-Exploits, -Schwachstellen und -Angriffen

Wenn eine Schwachstelle im Computercode potenziell von Hackern ausgenutzt werden kann, handelt es sich um eine Zero-Day-Schwachstelle. Wenn Entwickler und IT-Abteilungen nicht im Voraus vor dem Fehler gewarnt wurden, bedeutet es, dass sie „null Tage“ (Zero Days) haben, um den Schaden zu beheben und die Bedrohung zu blockieren.

In vielen Fällen war die Zero-Day-Schwachstelle bereits zum Zeitpunkt der Entwicklung des Codes vorhanden. Die Hacker können den fehlerhaften Code und die daraus resultierende Schwachstelle entdecken, auch wenn das Problem von den Entwicklern, IT-Teams und geschäftlichen Nutzern unentdeckt bleibt.

Hacker nutzen diese Schwachstelle dann im Rahmen eines Zero-Day-Exploits aus, indem sie schwer zu entdeckende Malware oder Viren entwickeln, und nutzen den Exploit weiterhin, um einen Zero-Day-Angriff auszuführen.

Zero-Day-Angriffe können eine ernsthafte Bedrohung für die Cybersicherheit und Datenintegrität eines Unternehmens darstellen. Wenn die infizierte Software gestartet oder ein System hochgefahren wird, kann die bereits vorhandene Malware die Anwendung, das Betriebssystem, die Firmware und/oder den Systemspeicher infizieren und somit die Daten und die Funktionsfähigkeit eines einzelnen Geräts oder eines ganzen Netzwerks gefährden.

So funktionieren Zero-Day-Angriffe

Hacker entwickeln gelegentlich Exploit-Kits und verkaufen sie im Dark Web. Andere Hacker erwerben diese Exploit-Kits, damit sie ihre eigenen Zero-Day-Angriffe starten können, einschließlich lukrativer Ransomware, Cryptojacking oder anderer fortschrittlicher Bedrohungen, sodass sich die Zahl der möglichen Angriffe vervielfacht.

Bei einem Zero-Day-Angriff können Hacker ein aktives Exploit-Kit oder Malware nutzen, die speziell für eine bekannte Schwachstelle im Code einer Anwendung, eines Betriebssystems oder einer anderen Softwareressource entwickelt wurde. Wenn es sich bei der Malware um eine neue Variante handelt oder sie keine einzigartige Signatur bzw. kein einzigartiges Verhaltensmuster aufweist, wird sie womöglich nicht von Sicherheitssoftwarelösungen erkannt.

Die Ziele von Zero-Day-Exploits

Software-as-a-Service (SaaS)-Anbieter und Managed-Service-Provider (MSPs) sind beliebte Ziele für Zero-Day-Exploits, da diese Unternehmen Software-Updates auf direktem Wege für viele Organisationen freigeben. Ein Zero-Day-Exploit bei einem SaaS oder MSP kann sich rasch ausdehnen.

Eine Variante eines Zero-Day-Exploits wird als Angriff auf die Software-Lieferkette bezeichnet, da dabei eine Softwareanwendung, ein Betriebssystem oder ein Update infiltriert wird, noch bevor es in Umlauf gelangt. Bei einem Angriff auf die Lieferkette wird die Malware in legitimem Code eingesetzt, wodurch die bösartige Signatur und das Verhalten verschleiert werden.

Diese Bedrohungen werden als „dateilose“ Malware bezeichnet, da sie nicht auf das Zielsystem heruntergeladen oder dort installiert werden müssen. Stattdessen kann der bösartige Code legitime Systemtools übernehmen und im Arbeitsspeicher operieren, ohne jemals auf der Festplatte gespeichert zu werden.

Erkennung von Zero-Day-Exploits

Ein Zero-Day-Angriff kann zu unerwartetem Verkehr oder verdächtigen Aktivitäten führen. Aus diesem Grund können IT- oder Sicherheitsexperten Zero-Day-Angriffe gelegentlich erkennen, indem sie den Internetverkehr scannen, Code untersuchen und Technik zur Erkennung von Malware einsetzen. Auch wenn Zero-Day-Exploits neu und unbekannt sind, weisen sie unter Umständen einige gemeinsame Merkmale mit bekannter Malware auf.

Hinweise dazu können beispielsweise im Verhalten des verdächtigen Codes und in der Art seiner Interaktionen mit dem Zielsystem gefunden werden. Durch den Einsatz von maschinellem Lernen kann ein ungewöhnliches Verhaltensmuster oft erkannt und zur Überprüfung markiert werden.

Einige Zero-Day-Bedrohungen bleiben jedoch unentdeckt und werden stattdessen von einem Benutzer entdeckt, der bemerkt, dass sich das Softwareprogramm verdächtig verhält. In anderen Fällen kann es sein, dass ein aufmerksamer oder glücklicher Entwickler eine Zero-Day-Schwachstelle erkennt, bevor der Code veröffentlicht wird, sodass der eigentliche Angriff verhindert werden kann.

Verhinderung von Zero-Day-Angriffen

Zero-Day-Angriffe stellen eine große Herausforderung für IT-Teams dar. Zur Verringerung der Wahrscheinlichkeit eines Angriffs ist eine mehrstufige Cybersicherheitsstrategie erforderlich, mit der bekannte Bedrohungen proaktiv bekämpft und das Unbekannte durch bewährte Verfahren und den Schutz von Endgeräten abgewehrt wird.

Proaktive Maßnahmen

Eine sorgfältige Überprüfung des Codes, Patching und Wartung können dazu beitragen, die Schadenanfälligkeit eines Unternehmens für Zero-Day-Angriffe zu verringern.

Antivirensoftware und häufiges Scannen können auch bei der Erkennung bekannter Malware helfen und viele Sicherheitsverstöße verhindern. Sobald Schwachstellen entdeckt wurden und behoben worden sind, werden sie von Entwicklern und Nutzern in den USA in der Liste der Common Vulnerabilities and Exposures (CVEs) erfasst, die vom US-Ministerium für innere Sicherheit mit der Unterstützung vieler Technikunternehmen gepflegt und bereitgestellt wird. Auch die Agentur der Europäischen Union für Cybersicherheit (ENISA) arbeitet an einer regionalen Datenbank für die koordinierte Offenlegung von Sicherheitslücken (CVD), die Daten und Berichte aus den EU-Mitgliedstaaten umfassen soll.

IT-Teams sollten hinsichtlich der neuesten CVEs stets auf dem neuesten Stand sein und überprüfen, ob ihre Sicherheitslösungen alle bekannten Bedrohungen berücksichtigen.

Darüber hinaus können Zero-Day-Angriffe die Form von dateiloser Malware annehmen, die rein auf Software basierende Sicherheitslösungen umgeht und sich direkt in den Systemspeicher einschleust. Unternehmen können zusätzlich zu den softwarebasierten Schutzmaßnahmen eine weitere Verteidigungsebene hinzufügen, indem sie Endgeräte mit integrierten, Hardware-kompatiblen Sicherheitsfunktionen bereitstellen.

Die Verhinderung von Cyberangriffen umfasst nicht nur technische Lösungen, sondern auch die Schulung von Mitarbeitern, da einzelne Systembenutzer oft zur Zielscheibe von Hackern werden. Einige Hacker verbreiten bösartigen Code – einschließlich Zero-Day-Malware – durch Social Engineering oder Phishing-Methoden. Die einzelnen Benutzer müssen zur Bekämpfung solcher Bedrohungen geschult werden, damit sie nicht mit verdächtigen Anwendungen und Dateien interagieren, die per E-Mail, Textnachricht oder über den Browser übermittelt werden.

Erkennung von Bedrohungen und Patchverwaltung

Die meisten Cybersicherheitsstrategien und -tools beruhen auf dem Vorwissen über eine bestimmte Schwachstelle, einen Exploit oder eine Cyberbedrohung. Es empfiehlt sich beispielsweise, die Software durch eine konsequente, proaktive Patchverwaltung stets auf dem neuesten Stand zu halten. Aufgrund der noch nicht entdeckten Zero-Day-Schwachstellen werden jedoch auch noch keine Patches verfügbar sein.

Die signaturbasierte Erkennung ist eine weitere Funktion herkömmlicher Antivirenlösungen. Bekannte Malware-Varianten weisen einzigartige Eigenschaften auf, die entdeckt und blockiert werden können. Auch hier gilt, dass die Zero-Day-Malware nicht bekannt ist und ihre Signatur daher nicht erkannt werden kann.

Daher eignen sich hier hardwarebasierte Sicherheitsfunktionen am besten, um reine Softwarelösungen zu verbessern und zu stärken. Sicherheit auf der Hardwareebene kann dabei helfen, Zero-Day-Malware zu erkennen und abzuwehren, die den Systemspeicher, die Firmware, das BIOS oder andere unterstützende Ebenen des Technologie-Stacks unterhalb des Betriebssystems oder der Anwendungssoftware angreift.

Die richtige Hardware kann auch die rechenintensive Verschlüsselung zum Schutz der Daten beschleunigen und dazu beitragen, die Angriffsflächen des Systems zu minimieren. Hardwarebasierte Beschleuniger können auch zur Unterstützung von künstlicher Intelligenz (KI) beitragen, um die Erkennung von Mustern zu verbessern und anomales Verhalten zu identifizieren.

Wenn die Sicherheitssoftware für diese Hardwarefunktionen optimiert ist, kann sie anomales Verhalten in einer Anwendung oder anderem Code wirksamer erkennen. Diese Anomalien können wichtige Indikatoren für Zero-Day-Angriffe und andere fortschrittliche Bedrohungen sein.

Beispiele für Zero-Day-Angriffe

Im Jahr 2020 war ein großes IT-Unternehmen in den USA Ziel eines Zero-Day-Angriffs. Hacker fügten der Software des Unternehmens bösartigen Code hinzu, den das Unternehmen unwissentlich im Rahmen eines Routine-Updates an seine Kunden verteilte. Die kompromittierte Software war ironischerweise ein Produkt zur Netzwerküberwachung.

Die Malware installierte eine „Hintertür“, um Zugang zu den Kunden des Unternehmens zu erhalten. Die Sicherheitsverletzung wurde erst nach Monaten entdeckt, was laut einem Bericht des Wall Street Journals zu Zero-Day-Schwachstellen bei rund 18.000 Organisationen führte, darunter Hunderte von Großunternehmen und Regierungsbehörden.1

Ebenfalls im Jahr 2020 verschafften sich Hacker mit einem Zero-Day-Angriff auf eine beliebte Videokonferenzplattform Zugang zu älteren PCs mit veralteter Software. Es gelang den Hackern, die PCs der Benutzer aus der Ferne zu steuern und schätzungsweise 500.000 Passwörter zu stehlen, die daraufhin im Dark Web zum Verkauf angeboten wurden.2

Schützen Sie sich vor Zero-Day-Exploits mit der Intel vPro® Plattform

Die Intel vPro® Plattform bietet Hardware-kompatible Sicherheitsfunktionen, die alle Ebenen des Computing-Stacks vor Zero-Day-Angriffen und anderen fortschrittlichen Bedrohungen schützen. Diese einzigartigen Funktionen tragen zur Verringerung der Angriffsfläche des Systems bei, indem sie kritische Ressourcen abriegeln, sodass bösartiger Code daran gehindert wird, das Betriebssystem, die Anwendungen, den Arbeitsspeicher und die Daten zu beeinträchtigen.

Intel® Hardware Shield

Die Sicherheitsfunktionen der Intel vPro® Plattform basieren auf dem Intel® Hardware Shield, einer Reihe von im Silizium aktivierten Funktionen. Intel® Hardware Shield hilft, das Risiko einer Malware-Infektion, einschließlich Zero-Day-Angriffen, zu verringern, indem es den Arbeitsspeicher im BIOS abschottet, wenn Software ausgeführt wird. Das Intel® Hardware Shield unterstützt sicheres Booten, sodass es weniger wahrscheinlich ist, dass Malware das Betriebssystem kompromittiert. Viele führende Sicherheitssoftwarelösungen sind für Intel® Hardware Shield optimiert, um die Vorteile der beschleunigten, hardwarebasierten Verschlüsselung zu nutzen und Cyberangriffe zu verhindern.

  • Die Intel® Threat Detection Technology (Intel® TDT) hilft Anbietern von Sicherheitssoftware, ihre Endgerätesicherheitslösungen zu verbessern, indem sie die Verhaltensdetektoren in ihren eigenen Sicherheitslösungen mit hardwarebasierten Sensoren ergänzen und verbessern, die Malware während der Ausführung auf der CPU entdecken. Intel® TDT interagiert mit hardwarebasierter Telemetrie, um Zero-Day-Schwachstellen und andere fortschrittliche Bedrohungen zu entdecken.
  • Intel® TDT Anomalous Behavior Detection (ABD) ist eine Komponente von Intel® TDT, die bei der Aufdeckung von schwer zu entdeckenden Cyberangriffen hilft, die Anwendungen oder gültige Systemprozesse infiltrieren. Diese Malware-Varianten können zu Zero-Day-Bedrohungen werden, weil sie in legitimen Prozessen versteckt sind und sich verhaltensbasierten Erkennungsmethoden entziehen können. ABD verfolgt die Softwareausführung innerhalb der CPU und erstellt dynamische KI-Modelle des Anwendungsverhaltens. Anschließend vergleicht sie ungewöhnliches oder anormales Verhalten mit den „bekanntermaßen guten“ Modellen, um versteckte Bedrohungen zu entdecken.
  • Intel® Control-Flow Enforcement Technology (Intel® CET) ist eine Funktion der Intel® Core™ Mobilprozessoren der 11. und 12. Generation. Intel® CET hilft bei der Abwehr von Angriffen auf den Systemspeicher.

Mehrschichtige Ansätze zum Zero-Day-Schutz

Zero-Day-Exploits und -Angriffe sind schwer zu identifizieren. Ein vielschichtiger Ansatz kann jedoch dabei helfen, gefährdete Geräte, Benutzer und Netzwerke zu schützen.

Zunächst einmal sollten IT-Teams robuste, proaktive Sicherheitslösungen wie Antivirensoftware und Patchverwaltung einsetzen. Zudem ist es wichtig, die Benutzer dazu anzuhalten, sich an die Sicherheitsrichtlinien zu halten, starke Passwörter zu wählen, die Interaktion mit verdächtigem Code zu vermeiden und personenbezogene Informationen zu schützen, die von Hackern missbraucht werden könnten.

Softwarebasierte Lösungen bieten jedoch nicht immer ausreichenden Schutz vor Zero-Day-Angriffen, weshalb ein umfassender Ansatz auch eine hardwarebasierte Sicherheitsebene einschließen sollte. Auf der Intel vPro® Plattform basierende Endgeräte erweitern die Sicherheitssoftware um Hardware-kompatible Funktionen, die zur Minimierung der Angriffsfläche des Systems beitragen und den gesamten Technologie-Stack vor Zero-Day-Bedrohungen schützen.

FAQs

Häufig gestellte Fragen

Zero-Day-Exploits und -Schwachstellen sind Probleme, die bereits im Code vorhanden sind, noch bevor er veröffentlicht wird. Wenn die Fehler entdeckt werden, muss die Schwachstelle sofort behoben werden, um weitere Sicherheitsverstöße zu verhindern. Daher haben die IT-Teams ab dem Zeitpunkt der Erkennung „null Tage“ Zeit, um darauf zu reagieren.

IT- und Sicherheitsexperten können Zero-Day-Angriffe gelegentlich entdecken, indem sie den Internetverkehr scannen, den Code untersuchen und Technik zur Erkennung von Malware einsetzen. Einige Zero-Day-Bedrohungen umgehen diese Vorsichtsmaßnahmen und werden von Benutzern entdeckt, denen auffällt, dass sich das Softwareprogramm auf verdächtige Weise verhält. In anderen Fällen kann es sein, dass ein Entwickler eine Zero-Day-Schwachstelle erkennt, bevor der Code veröffentlicht wird, sodass der eigentliche Angriff verhindert werden kann.

Sobald ein Zero-Day-Exploit identifiziert wird, können Anbieter von Sicherheitslösungen alarmiert werden. Diese können nun Antiviren-Signaturen und andere Schutzmaßnahmen hinzufügen, um die neue Bedrohung zu blockieren.