Exploit / Zero-Day Exploit

Was ist ein Exploit?

Als einen Exploit bezeichnet man den Zugang zu einer Sicherheitslücke in einem System, welcher entweder aus der theoretischen Beschreibung der Schwachstelle oder einem einsetzbaren Programmcode, resultiert.

Der Exploit beinhaltet dann wiederum einen Payload, welcher Aktivitäten ausführen soll, die vom Angreifer bestimmt werden – beispielsweise Trojaner, Kryptotrojaner Kryptotrojaner oder die Errichtung einer Backdoor.

Exploits dienen Hacker als ein Werkzeug, welches einem bei richtiger Ausführung Zutritt zu Computersystemen verschafft. Gutmutige Hacker (WhiteHat) benutzen Exploits zur Beseitigung von Schwachstellen, wogegen böswillige Hacker

(BlackHat) Exploits nutzen, um Systeme zu manipulieren und Schaden anzurichten.

Wiki Bild Eternal Blue
Beispiele für bekannte Exploits sind unter anderem WannaCry, EternalBlue oder Emotet.

EternalBlue, ein Exploit von der NSA

EternalBlue (Schwachstelle, engl. „Vulnerability”: CVE-2017-0144) beispielsweise bezeichnet einen Exploit, welcher Programmierfehler in der SMB-Implementierung von Windows (Windows API) ausnutzt. Verantwortlich für die Entwicklung des Exploits EternalBlue ist die Spezialeinheit der NSA, Tailored Access Operations.

IDS/IPS Systeme können genutzt werden, um solche Angriffe zu erkennen und zu verhindern. Diese sollten ordentlich konfiguriert und regelmäßig geprüft werden, um neue Angriffe schneller zu erkennen und einen Riegel vorschieben zu können.
Im IT-Sicherheits-Consulting unterstützen wir die Unternehmen bei dem Entwickeln von eigenen IPS und IDS Signaturen, insbesondere, wenn es sich um eigenentwickelte Software handelt.

Des Weiteren sollten Unternehmen regelmäßige Penetration Tests durchführen lassen, bei denen die Organisationen, Netzwerke und Systeme auf potenzielle Sicherheitslücken und Schwachstellen geprüft werden.

Wie gut ist Dein IT-System
vor Hackern geschützt?
Lass jetzt Dein System durch unseren Penetration Test überprüfen
Jetzt Anfragen

Was ist ein Zero-Day?

Schwachstellen und Sicherheitslücken, die noch unbekannt sind und noch vor den Software-Herstellern entdeckt werden, bezeichnet man als Zero-Days. Die Problematik beinhaltet, dass seitens der Entwickler kein Patch und keine Korrektur bezüglich der entdeckten Schwachstellen erfolgen kann oder vorliegt.

Der Zero-Day-Exploit

Ein Zero-Day-Exploit geht von einem Fehler in einer Anwendung, Software oder eines Dienstes aus. Die Schwachstelle oder Sicherheitslücke ist die Konsequenz eines fehlerhaften Programmier-Codes, die durch einen Entwickler versehentlich implementiert wurde.

Angreifer identifizieren diese Schwachstellen durch Analyse der Anwendungen oder Dienste und stellen daraufhin einen eigenen Programmcode in Form eines „Proof of Concept“ (abgekürzt: POC) Exploit her, um Zero-Day Schwachstellen in einer Anwendung auszuhebeln oder auszunutzen. Grundsätzlich sollte ein programmierter Source-Code durch eine sorgfältige, bestenfalls prozessabhängige, Qualitätssicherung geprüft und verifiziert werden, um solche Sicherheitsanfälligkeiten zu minimieren oder zu unterbinden.

Die ProSec GmbH hat eine Richtlinie zur Offenlegung der Sicherheitslücken veröffentlicht, die sogenannte Vulnerability Disclosure Guidline.

White- und Grey- Hat Hacker informieren umgehend den Hersteller nach Identifikation und Verifikation einer Zero-Day Schwachstelle, um proaktiv gegen Black Hat Hacker vorzugehen und damit das Unternehmen zu schützen. Idealerweise müssen sich die Entwickler des Programms zeitnah dem Problem annehmen um einen Bugfix zu entwickeln. Dieser wird in der Regel in Form eines Sicherheitspatches bereitgestellt, um die Schwachstelle zu beheben und weitere fatale Folgen zu vermeiden.

Zeitlicher Vorsprung durch Zero Day Exploits

Zero Day Exploits sind besonders gefährlich, da Hacker diese Schwachstellen identifizieren und somit einen zeitlichen Vorsprung vor Ihren Opfern haben. Zudem dauert es in der Regel lange, bis Zero Day Schwachstellen von den zugehörigen Entwicklern behoben und damit geschlossen werden. Zudem können potenziell betroffene Unternehmen nicht zeitnah reagieren, sondern müssen solange warten, bis die Schwachstellen durch die Entwickler der Anwendung einen Sicherheitspatch veröffentlicht haben. In diesem Zeitraum besteht ein erhöhtes Risiko zur Ausnutzung der Schwachstellen durch BlackHat Hacker.

Um eine Anfälligkeit in diesem Zeitraum nach Bekanntgabe des Zero-Day-Exploits zu minimieren, ist es sinnvoll, gängige Sicherheitsstandards im Unternehmen zu implementieren. Deshalb sollte grundsätzlich der Datenverkehr verschlüsselt sein und eine ordentliche Netztrennung bestehen. Ein Intrusion Prevention- und Intrusion Detection System kann in Verbindung mit der Netztrennung behilflich sein, um ungewollte Aktivitäten im Netzwerk zu erkennen und zu unterbinden bzw. Zugriffe zu beschränken.

Software mit Sicherheitsrisiko

Für Software, bei der ein Sicherheitsrisiko bekannt gegeben wurde, ohne das eine entsprechende Problembehandlung zur Verfügung steht, sollte die Zahl der Installationen beschränkt oder minimiert werden. Desweiteren empfiehlt es sich, Software immer auf dem aktuellsten Stand zu halten, um die bestmögliche Sicherheit zu garantieren. Dazu gehört ebenfalls ein etabliertes Patchmanagement, um Softwareaktualisierungen durch einen Prozess im Unternehmen weitreichend zu standardisieren.

Die genannten Maßnahmen bieten keine 100-prozentige Sicherheit, beugen jedoch einer möglichen Gefahr durch Kompromittierung der anfälligen Systeme durch die Zero-Day Lücke vor. Damit kann der wirtschaftliche Schaden reduziert werden.

Du suchst nach weitere Informationen zum Thema IT-Sicherheit?
Ruf uns gerne an oder nutz einfach und bequem unser Kontaktformular!
Jetzt kontaktieren

Unsere Empfehlung:

Penetration Tester prüfen beispielsweise im Rahmen einer Schwachstellenanalyse, ob die vorhandenen Sicherheitsvorkehrungen richtig konfiguriert und umgesetzt wurden. Zudem findet die ProSec GmbH regelmäßig selbst Zero Days in eingesetzter Software unserer Kunden und kann Sie dann mit Workarounds unterstützen, bis der Hersteller Abhilfe leistet.

Eine Software schützt Sie hierbei nicht, wie es fälschlicherweise immer und überall beworben wird. Es gibt keinen „Zero-Day-Schutz“, daher der Name. Lassen Sie sich nicht vom Marketing anderer Unternehmen blenden.

ANDERE BEITRÄGE
Configuration Management Darstellung Knowledge Base
Configuration Management

Was ist Configuration Management? Konfigurationsmanagement oder im englischen Configuration Management (CM) ist ein Prozess zur Herstellung und Erhaltung eines einheitlichen

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.