Ein Zero-Day-Leitfaden für 2020: Jüngste Angriffe und fortschrittliche Präventivtechniken

Ilai Bavati
vor 2 Jahren

Zero-Day-Schwachstellen ermöglichen es Bedrohungsakteuren, Sicherheits-Blindspots zu nutzen. In der Regel umfasst ein Zero-Day-Angriff die Identifizierung von Zero-Day-Schwachstellen, die Erstellung relevanter Exploits, die Identifizierung anfälliger Systeme und die Planung des Angriffs. Die nächsten Schritte sind Infiltration und Start.

Dieser Artikel untersucht drei aktuelle Zero-Day-Angriffe, die auf Microsoft, Internet Explorer und Sophos abzielten. Schließlich erfahren Sie mehr über vier Zero-Day—Schutz- und Präventionslösungen – NGAV, EDR, IPSec und Network Access Controls.

Was ist eine Zero-Day-Schwachstelle?

Zero-Day-Schwachstellen sind kritische Bedrohungen, die noch nicht öffentlich bekannt sind oder erst durch einen Angriff entdeckt werden. Per Definition wissen Anbieter und Benutzer noch nichts über die Sicherheitsanfälligkeit. Der Begriff Zero-Day stammt aus dem Zeitpunkt, an dem die Bedrohung entdeckt wird (Tag Null). Ab diesem Tag findet ein Wettlauf zwischen Sicherheitsteams und Angreifern statt, um die Bedrohung zuerst zu patchen oder auszunutzen.

Anatomie eines Zero-Day-Angriffs

Ein Zero-Day-Angriff tritt auf, wenn Kriminelle eine Zero-Day-Sicherheitsanfälligkeit ausnutzen. Die Zeitleiste eines Zero-Day-Angriffs umfasst häufig die folgenden Schritte.

1. Schwachstellen identifizieren: Kriminelle testen Open-Source-Code und proprietäre Anwendungen auf Schwachstellen, die noch nicht gemeldet wurden. Angreifer können sich auch an Schwarzmärkte wenden, um Informationen über Schwachstellen zu erwerben, die noch nicht öffentlich sind.
2. Erstellung von Exploits: Angreifer erstellen ein Kit, ein Skript oder einen Prozess, mit dem sie die entdeckte Sicherheitsanfälligkeit ausnutzen können.
3. Identifizierung anfälliger Systeme: Sobald ein Exploit verfügbar ist, suchen Angreifer nach betroffenen Systemen. Dies kann die Verwendung automatisierter Scanner, Bots oder manueller Sondierung beinhalten.
4. Planung des Angriffs: Die Art des Angriffs, den ein Krimineller ausführen möchte, bestimmt diesen Schritt. Wenn ein Angriff ins Visier genommen wird, führen Angreifer in der Regel eine Aufklärung durch, um die Wahrscheinlichkeit, erwischt zu werden, zu verringern und die Erfolgschancen zu erhöhen. Bei allgemeinen Angriffen verwenden Kriminelle eher Phishing-Kampagnen oder Bots, um so schnell wie möglich so viele Ziele wie möglich zu erreichen.
5. Infiltration und Start: Wenn eine Sicherheitsanfälligkeit die erste Infiltration eines Systems erfordert, müssen Angreifer dies tun, bevor sie den Exploit bereitstellen. Wenn jedoch eine Sicherheitsanfälligkeit ausgenutzt werden kann, um Zugang zu erhalten, wird der Exploit direkt angewendet.

Aktuelle Angriffsbeispiele

Zero-Day-Angriffe effektiv zu verhindern, ist eine große Herausforderung für jedes Sicherheitsteam. Diese Angriffe kommen ohne Vorwarnung und können viele Sicherheitssysteme umgehen. Insbesondere diejenigen, die sich auf signaturbasierte Methoden verlassen. Um Ihre Sicherheit zu verbessern und Ihr Risiko zu verringern, können Sie sich zunächst über die Arten von Angriffen informieren, die kürzlich stattgefunden haben.

Microsoft

Im März 2020 warnte Microsoft Benutzer vor Zero-Day-Angriffen, bei denen zwei separate Sicherheitsanfälligkeiten ausgenutzt wurden. Diese Sicherheitsanfälligkeiten betrafen alle unterstützten Windows-Versionen, und bis Wochen später wurde kein Patch erwartet. Derzeit gibt es keinen CVE-Bezeichner für diese Sicherheitsanfälligkeit.

Die Angriffe richteten sich gegen RCE-Schwachstellen (Remote Code Execution) in der Adobe Type Manager (ATM)-Bibliothek. Diese Bibliothek ist in Windows integriert, um PostScript Type 1-Schriftarten zu verwalten. Die Fehler in ATM ermöglichten es Angreifern, bösartige Dokumente zum Remote-Ausführen von Skripten zu verwenden. Die Dokumente kamen durch Spam an oder wurden von ahnungslosen Benutzern heruntergeladen. Beim Öffnen oder in der Vorschau mit dem Windows-Datei-Explorer würden die Skripte ausgeführt und Benutzergeräte infiziert.

Internet Explorer

Internet Explorer (IE), der Legacy-Browser von Microsoft, ist eine weitere aktuelle Quelle für Zero-Day-Angriffe. Diese Sicherheitsanfälligkeit (CVE-2020-0674) tritt aufgrund eines Fehlers in der Art und Weise auf, wie die IE-Scripting-Engine Objekte im Speicher verwaltet. Es betraf IE v9-11.

Angreifer können diese Sicherheitsanfälligkeit ausnutzen, indem sie Benutzer dazu verleiten, eine Website zu besuchen, die den Fehler ausnutzen soll. Dies kann durch Phishing-E-Mails oder durch Umleitung von Links und Serveranfragen erreicht werden.

Sophos

Im April 2020 wurden Zero-Day-Angriffe gegen die XG-Firewall von Sophos gemeldet. Bei diesen Angriffen wurde versucht, eine SQL-Injection-Sicherheitsanfälligkeit (CVE-2020-12271) auszunutzen, die auf den in der Firewall integrierten PostgreSQL-Datenbankserver abzielt.

Wenn diese Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, können Angreifer Code in die Datenbank einfügen. Dieser Code kann verwendet werden, um Firewall-Einstellungen zu ändern, den Zugriff auf Systeme zu gewähren oder die Installation von Malware zu aktivieren.

Schutz und Prävention

Um sich vor Zero-Day-Angriffen zu schützen, müssen Sie Ihre vorhandenen Tools und Strategien mit erweiterten Schutzfunktionen ausstatten. Im Folgenden finden Sie einige Lösungen und Vorgehensweisen, mit denen Sie unbekannte Bedrohungen erkennen und verhindern können.

Next-Generation Antivirus

Next-Generation Antivirus (NGAV) erweitert traditionelles Antivirus. Dies geschieht durch Funktionen für maschinelles Lernen, Verhaltenserkennung und Exploit-Minderung. Diese Funktionen ermöglichen es NGAV, Malware auch dann zu erkennen, wenn keine Signatur oder kein Datei-Hash bekannt ist (auf den sich herkömmliches AV stützt).

Darüber hinaus sind diese Lösungen häufig cloudbasiert, sodass Sie Tools isoliert und skalierbar bereitstellen können. Dadurch wird sichergestellt, dass alle Ihre Geräte geschützt sind und der Schutz auch dann aktiv bleibt, wenn Geräte betroffen sind.

Endpoint Detection and Response

EDR-Lösungen (Endpoint Detection and Response) bieten Transparenz, Überwachung und automatisierten Schutz für Ihre Endpunkte. Diese Lösungen überwachen den gesamten Endpunktverkehr und können mithilfe künstlicher Intelligenz verdächtiges Endpunktverhalten klassifizieren, wie z. B. häufige Anfragen oder Verbindungen von fremden IPs. Mit diesen Funktionen können Sie Bedrohungen unabhängig von der Angriffsmethode blockieren.

Darüber hinaus können EDR-Funktionen verwendet werden, um Benutzer oder Dateien zu verfolgen und zu überwachen. Solange sich der verfolgte Aspekt innerhalb normaler Richtlinien verhält, werden keine Maßnahmen ergriffen. Sobald das Verhalten jedoch abweicht, können Sicherheitsteams alarmiert werden.

Diese Funktionen erfordern keine Kenntnis spezifischer Bedrohungen. Stattdessen nutzen die Funktionen Threat Intelligence, um allgemeine Vergleiche anzustellen. Dies macht EDR wirksam gegen Zero-Day-Angriffe.

IP-Sicherheit

IP-Sicherheit (IPSec) ist eine Reihe von Standardprotokollen, die von Internet Engineering Task Forces (IETFs) verwendet werden. Es ermöglicht Teams, Datenauthentifizierungsmaßnahmen anzuwenden und die Integrität und Vertraulichkeit zwischen Verbindungspunkten zu überprüfen. Es ermöglicht auch Verschlüsselung und sichere Schlüsselverwaltung und -austausch.

Sie können IPSec verwenden, um den gesamten Netzwerkverkehr zu authentifizieren und zu verschlüsseln. Auf diese Weise können Sie Verbindungen sichern und verdächtigen Datenverkehr außerhalb des Netzwerks schnell identifizieren und darauf reagieren. Mit diesen Fähigkeiten können Sie die Schwierigkeit erhöhen, Zero-Day-Schwachstellen auszunutzen, und die Wahrscheinlichkeit verringern, dass Angriffe erfolgreich sind.

Implementieren von Netzwerkzugriffskontrollen

Mit Netzwerkzugriffskontrollen können Sie Ihre Netzwerke sehr detailliert segmentieren. Auf diese Weise können Sie genau definieren, welche Benutzer und Geräte auf welche Weise auf Ihre Assets zugreifen können. Dies beinhaltet die Beschränkung des Zugriffs auf nur die Geräte und Benutzer mit den entsprechenden Sicherheitspatches oder -tools.

Mit Netzwerkzugriffskontrollen können Sie sicherstellen, dass Ihre Systeme geschützt sind, ohne die Produktivität zu beeinträchtigen oder den externen Zugriff vollständig einzuschränken. Beispielsweise die Art des Zugriffs, der beim Hosten von Software as a Service (SaaS) erforderlich ist.

Diese Steuerelemente sind für den Schutz vor Zero-Day-Bedrohungen von Vorteil, da Sie seitliche Bewegungen in Ihren Netzwerken verhindern können. Dies isoliert effektiv jeden Schaden, den eine Zero-Day-Bedrohung verursachen kann.

Auf Nummer sicher gehen

Die jüngsten Zero-Day-Angriffe zeigen, dass immer mehr Bedrohungsakteure bei Endpunktbenutzern eine leichte Spur finden. Der Zero-Day-Angriff auf Microsoft nutzte ATM-Schwachstellen aus, um Benutzer zum Öffnen von Malware zu verleiten. Wenn Bedrohungsakteure eine Zero-Day-Sicherheitsanfälligkeit im Internet ausnutzten, verleiteten sie Benutzer dazu, bösartige Websites zu besuchen. Der Zero-Day-Angriff auf Sophos könnte Benutzern möglicherweise Zugriff auf Bedrohungsakteure gewähren.

Zero-Day-Angriffe sind zwar schwer vorherzusagen, es ist jedoch möglich, diese Angriffe zu verhindern und zu blockieren. EDR Security ermöglicht es Unternehmen, die Transparenz auf Endpunkte auszudehnen, und Antivirenprogramme der nächsten Generation bieten Schutz vor Malware, ohne sich auf bekannte Signaturen verlassen zu müssen. IPSec-Protokolle ermöglichen es Unternehmen, den Netzwerkverkehr zu authentifizieren und zu verschlüsseln, und Netzwerkzugriffskontrollen bieten die Tools, um böswilligen Akteuren den Zugriff zu verweigern. Lassen Sie nicht zu, dass Bedrohungsakteure die Oberhand haben. Durch die Verwendung und Überlagerung mehrerer dieser Tools und Ansätze können Sie Ihre Mitarbeiter, Ihre Daten und Ihre Organisation besser schützen.