Beispiele für bekannte Exploits sind unter anderem WannaCry, EternalBlue oder Emotet.
Als einen Exploit bezeichnet man den Zugang zu einer Sicherheitslücke in einem System, welcher entweder aus der theoretischen Beschreibung der Schwachstelle oder einem einsetzbaren Programmcode, resultiert.
Der Exploit beinhaltet dann wiederum einen Payload, welcher Aktivitäten ausführen soll, die vom Angreifer bestimmt werden – beispielsweise Trojaner, Kryptotrojaner Kryptotrojaner oder die Errichtung einer Backdoor.
Exploits dienen Hacker als ein Werkzeug, welches einem bei richtiger Ausführung Zutritt zu Computersystemen verschafft. Gutmutige Hacker (WhiteHat) benutzen Exploits zur Beseitigung von Schwachstellen, wogegen böswillige Hacker
(BlackHat) Exploits nutzen, um Systeme zu manipulieren und Schaden anzurichten.
EternalBlue (Schwachstelle, engl. „Vulnerability”: CVE-2017-0144) beispielsweise bezeichnet einen Exploit, welcher Programmierfehler in der SMB-Implementierung von Windows (Windows API) ausnutzt. Verantwortlich für die Entwicklung des Exploits EternalBlue ist die Spezialeinheit der NSA, Tailored Access Operations.
IDS/IPS Systeme können genutzt werden, um solche Angriffe zu erkennen und zu verhindern. Diese sollten ordentlich konfiguriert und regelmäßig geprüft werden, um neue Angriffe schneller zu erkennen und einen Riegel vorschieben zu können.
Im IT-Sicherheits-Consulting unterstützen wir die Unternehmen bei dem Entwickeln von eigenen IPS und IDS Signaturen, insbesondere, wenn es sich um eigenentwickelte Software handelt.
Des Weiteren sollten Unternehmen regelmäßige Penetration Tests durchführen lassen, bei denen die Organisationen, Netzwerke und Systeme auf potenzielle Sicherheitslücken und Schwachstellen geprüft werden.
Ein Zero-Day-Exploit geht von einem Fehler in einer Anwendung, Software oder eines Dienstes aus. Die Schwachstelle oder Sicherheitslücke ist die Konsequenz eines fehlerhaften Programmier-Codes, die durch einen Entwickler versehentlich implementiert wurde.
Angreifer identifizieren diese Schwachstellen durch Analyse der Anwendungen oder Dienste und stellen daraufhin einen eigenen Programmcode in Form eines „Proof of Concept“ (abgekürzt: POC) Exploit her, um Zero-Day Schwachstellen in einer Anwendung auszuhebeln oder auszunutzen. Grundsätzlich sollte ein programmierter Source-Code durch eine sorgfältige, bestenfalls prozessabhängige, Qualitätssicherung geprüft und verifiziert werden, um solche Sicherheitsanfälligkeiten zu minimieren oder zu unterbinden.
Die ProSec GmbH hat eine Richtlinie zur Offenlegung der Sicherheitslücken veröffentlicht, die sogenannte Vulnerability Disclosure Guidline.
White- und Grey- Hat Hacker informieren umgehend den Hersteller nach Identifikation und Verifikation einer Zero-Day Schwachstelle, um proaktiv gegen Black Hat Hacker vorzugehen und damit das Unternehmen zu schützen. Idealerweise müssen sich die Entwickler des Programms zeitnah dem Problem annehmen um einen Bugfix zu entwickeln. Dieser wird in der Regel in Form eines Sicherheitspatches bereitgestellt, um die Schwachstelle zu beheben und weitere fatale Folgen zu vermeiden.
Zero Day Exploits sind besonders gefährlich, da Hacker diese Schwachstellen identifizieren und somit einen zeitlichen Vorsprung vor Ihren Opfern haben. Zudem dauert es in der Regel lange, bis Zero Day Schwachstellen von den zugehörigen Entwicklern behoben und damit geschlossen werden. Zudem können potenziell betroffene Unternehmen nicht zeitnah reagieren, sondern müssen solange warten, bis die Schwachstellen durch die Entwickler der Anwendung einen Sicherheitspatch veröffentlicht haben. In diesem Zeitraum besteht ein erhöhtes Risiko zur Ausnutzung der Schwachstellen durch BlackHat Hacker.
Um eine Anfälligkeit in diesem Zeitraum nach Bekanntgabe des Zero-Day-Exploits zu minimieren, ist es sinnvoll, gängige Sicherheitsstandards im Unternehmen zu implementieren. Deshalb sollte grundsätzlich der Datenverkehr verschlüsselt sein und eine ordentliche Netztrennung bestehen. Ein Intrusion Prevention- und Intrusion Detection System kann in Verbindung mit der Netztrennung behilflich sein, um ungewollte Aktivitäten im Netzwerk zu erkennen und zu unterbinden bzw. Zugriffe zu beschränken.
Für Software, bei der ein Sicherheitsrisiko bekannt gegeben wurde, ohne das eine entsprechende Problembehandlung zur Verfügung steht, sollte die Zahl der Installationen beschränkt oder minimiert werden. Desweiteren empfiehlt es sich, Software immer auf dem aktuellsten Stand zu halten, um die bestmögliche Sicherheit zu garantieren. Dazu gehört ebenfalls ein etabliertes Patchmanagement, um Softwareaktualisierungen durch einen Prozess im Unternehmen weitreichend zu standardisieren.
Die genannten Maßnahmen bieten keine 100-prozentige Sicherheit, beugen jedoch einer möglichen Gefahr durch Kompromittierung der anfälligen Systeme durch die Zero-Day Lücke vor. Damit kann der wirtschaftliche Schaden reduziert werden.
Penetration Tester prüfen beispielsweise im Rahmen einer Schwachstellenanalyse, ob die vorhandenen Sicherheitsvorkehrungen richtig konfiguriert und umgesetzt wurden. Zudem findet die ProSec GmbH regelmäßig selbst Zero Days in eingesetzter Software unserer Kunden und kann Sie dann mit Workarounds unterstützen, bis der Hersteller Abhilfe leistet.
Eine Software schützt Sie hierbei nicht, wie es fälschlicherweise immer und überall beworben wird. Es gibt keinen „Zero-Day-Schutz“, daher der Name. Lassen Sie sich nicht vom Marketing anderer Unternehmen blenden.
