Kleine Fehler mit schwerwiegenden Folgen

Zero-Day-Exploits schlummern oft jahrelang in einem Netzwerk und öffnen Angreifern Tür und Tor

Datum
6. Juni 2017
Autor

Ein Zero-Day-Exploit ist ein Schadcode, der eine Sicherheitslücke ausnutzt, die noch unbekannt ist und für die es noch keinen Patch gibt. Eingesetzt werden sie von Wirtschaftskriminellen, die Unternehmen erpressen oder ausspionieren wollen, aber auch von Behörden und Geheimdiensten, wie WikiLeaks kürzlich aufgedeckt hat. Wie funktionieren Zero-Day-Exploits, wie werden sie eingesetzt – und wie können Sie sich davor schützen?

Jedes System hat Lücken

Kein System ist perfekt, keine Software ist fehlerfrei. Diese Schwachstellen nutzen Hacker mit Zero-Day-Exploits aus. Sie suchen gezielt nach Fehlern in Betriebssystemen oder Programmen, schreiben einen Schadcode, der diese Sicherheitslücke ausnützt, und schleusen ihn in das System ein. Zero-Day-Exploits heißen so, weil die Hersteller noch nichts von der Schwachstelle wussten und darum null Tage Zeit hatten, die Lücke zu schliessen. Bis die Entwickler die Lücke entdecken und mit einem Patch schließen, dauert es oft Jahre, weil Zero-Day-Exploits kaum zu erkennen sind. Solange ist das infizierte System ungeschützt und die Türe zum Netzwerk mit allen Informationen weit offen für Angriffe.

Das Beispiel Firefox

Im November 2016 bestätigte Mozilla beispielsweise, dass die Entwickler einen Zero-Day-Exploit für den Firefox-Browser (Versionen 41 bis 50 und ESR) entdeckt hätten. Mit dem Exploit wollten Hacker Schadcode in Windows-Systeme einschleusen. Der Code soll sich über Webseiten, Hidden Services sowie Exit Nodes des Tor-Netzwerkes verbreitet haben. In infizierten Systemen provozierte der Exploit, der die Kernbibliothek kernel32.dll direkt adressierte, einen Speicherfehler und konnte aus der Ferne – und damit unerkannt – ausgeführt werden.

FBI vs. Freedom Hosting

Der Schadcode, der benutzt worden war, war nicht neu. Ein Sicherheitsforscher wies starke Ähnlichkeiten mit dem JavaScript-Exploit Magneto nach. 2013 hatte das US-amerikanische FBI mit diesem Exploit die Server von Freedom Hosting übernommen und Nutzer des Tor-Hidden-Services-Anbieters identifiziert. Der Schadcode übermittelte die IP- und MAC-Adressen der Nutzer sowie ihre Identifikationsnummer, wenn sie eine Webseite besuchten, an die FBI-Server. Freedom Hosting war als Umschlagplatz für kinderpornografisches Material bekannt.

Spionieren statt kontrollieren

Als der Exploit auftauchte, vermuteten Sicherheitsexperten eine Strafverfolgungsbehörde dahinter, weil der Code die Rechner der Nutzer nur ausspionierte statt sie zu übernehmen. Sie hatten Recht: Im September 2013 bestätigte der zuständige FBI Supervisory Special Agent den Einsatz vor Gericht. Zero-Day-Exploits werden häufig von Behörden wie der CIA eingesetzt, wie WikiLeaks im März 2017 enthüllte. Laut WikiLeaks sollen in der US-Botschaft in Frankfurt CIA-Agenten, die zur Abteilung Center for Cyber Intelligence gehören, Exploits entwickeln.

Die Motive der Kriminellen

Zero-Day-Exploits gibt’s im Darknet zu kaufen. Einfache Exploits kosten ein paar hundert Euro, komplexe Exploits für unbekannte Sicherheitslücken sind unbezahlbar. Vor allem, wenn man sie exklusiv nutzen darf. Sie werden nicht nur von Behörden und Geheimdiensten gekauft, die über genügend Mittel verfügen und die Preise hoch treiben, sondern auch von Wirtschaftskriminellen. Die wollen zum Beispiel ein System manipulieren und den Betreiber erpressen, sensible Informationen stehlen oder ein Unternehmen für einen Wettbewerber ausspionieren.

Wie können Sie sich schützen?

Zero-Day-Attacken sind schwierig zu entdecken. Traditionelle Schutzmaßnahmen, die auf Malware-Signaturen aufbauen, scheitern, weil diese Informationen bei einem Zero-Day-Exploit unbekannt sind. Trotzdem können Sie es den Angreifern so schwierig wie möglich machen:

  • Installieren Sie nur Software, die Sie wirklich brauchen, prüfen Sie regelmäßig alle installierten Programme und deinstallieren Sie die Software, die Sie nicht mehr brauchen.
  • Aktualisieren Sie Betriebssystem und Programme regelmäßig und installieren Sie die Patches, sobald die Softwarehersteller sie veröffentlichen (siehe «Fix die Patches updaten»).
  • Installieren Sie eine Firewall mit starker Zugriffskontrolle. Sie schützt das Netzwerk nicht vor Schadcode, erkennt aber verdächtige (unautorisierte) Verbindungen und blockiert sie.