Warum heißt es „Day Zero“?
In der Internetsicherheit, ist der Begriff „Zero-Day“ wird verwendet, weil die software-Hersteller war sich nicht bewusst, Ihre software Verwundbarkeit, und Sie hatten „0“ Tage arbeiten, ein Sicherheits-patch oder ein update, das Problem zu beheben.
Sobald ein Patch veröffentlicht wurde, wird die Sicherheitsanfälligkeit nicht mehr als „Zero-Day“ bezeichnet.“
Was ist ein Zero-Day-Angriff?
Ein Zero-Day-Exploit ist eine unbekannte Sicherheitslücke oder ein Softwarefehler, auf den ein Bedrohungsakteur mit bösartigem Code abzielen kann., Diese Sicherheitslücke oder dieser Fehler kann auch als Zero-Day-Sicherheitslücke bezeichnet werden.
Ein Zero-Day-Angriff tritt auf, wenn ein Hacker Malware freigibt, um die Software-Sicherheitsanfälligkeit auszunutzen, bevor der Softwareentwickler den Fehler behoben hat.
Möchten Sie vor Gegnern bleiben?
Laden Sie den globalen Bedrohungsbericht 2020 herunter, um Trends in den sich ständig weiterentwickelnden Taktiken, Techniken und Verfahren der Angreifer aufzudecken, die unsere Teams im vergangenen Jahr beobachtet haben.
Jetzt herunterladen
Warum sind Zero-Day-Angriffe so gefährlich?,
Zero-Day-Angriffe sind für Unternehmen äußerst gefährlich, da sie unbekannt sind und sehr schwer zu erkennen sind, was sie zu einem ernsthaften Sicherheitsrisiko macht. Es ist wie ein Dieb, der sich durch eine Hintertür schleicht, die versehentlich freigeschaltet wurde.
Erfahren Sie mehr
Lesen Sie unseren Blogbeitrag, um zu erfahren, wie CrowdStrike den Hurrikan Panda mit CVE-2014-4113 entdeckte, einem 64-Bit-Zero-Day-Eskalations-Exploit, der auf Windows-Computern Chaos anrichtete., Lesen Sie Blog
Zero-Day-Beispiele
Wenn eine Zero-Day-Sicherheitsanfälligkeit entdeckt wird, wird sie im Allgemeinen zur CVE-Liste (Common Vulnerabilities and Exposures) hinzugefügt. CVE ist ein Wörterbuch, das Definitionen für öffentlich offenbarte Cybersicherheitslücken bereitstellt.
Das Ziel von CVE ist es, es einfacher zu machen, Daten über separate Schwachstellen-Funktionen (Tools, Datenbanken und Dienste) mit diesen Definitionen zu teilen. CVE-Datensätze bestehen aus einer Identifikationsnummer, einer Beschreibung und mindestens einer öffentlichen Referenz.,
Im Folgenden sind nur einige Beispiele für Zero-Day-Exploits aufgeführt, die in den letzten Jahren entdeckt wurden:
Zerologon
Am 11. Da keine ersten technischen Details veröffentlicht wurden, erhielt der CVE im Sicherheitsupdate nicht viel Aufmerksamkeit, obwohl er einen maximalen CVSS-Score von 10 erhielt.,
Diese Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf einen Domänencontroller, eine anfällige Netlogon-Sitzung einzurichten und schließlich Domänenadministratorrechte zu erhalten. Die Sicherheitsanfälligkeit ist besonders gravierend, da die einzige Voraussetzung für einen erfolgreichen Exploit die Möglichkeit ist, eine Verbindung mit einem Domänencontroller herzustellen.,
Lesen Sie unsere technische Analyse von Zerologon
NTLM-Schwachstelle
Am Patch Tuesday Juni 2019 veröffentlichte Microsoft Patches für CVE-2019-1040 und CVE-2019-1019, zwei Schwachstellen, die von Preempt-Forschern (jetzt CrowdStrike) entdeckt wurden. Die kritischen Sicherheitslücken bestehen aus drei logischen Fehlern in NTLM (Microsofts proprietäres Authentifizierungsprotokoll). Preempt-Forscher konnten alle wichtigen NTLM-Schutzmechanismen umgehen.,
Mit diesen Sicherheitsanfälligkeiten können Angreifer bösartigen Code auf jedem Windows-Computer remote ausführen oder sich bei einem HTTP-Server authentifizieren, der die integrierte Windows-Authentifizierung (WIA) wie Exchange oder ADFS unterstützt. Alle Windows-Versionen, die diesen Patch nicht angewendet haben, sind anfällig.
Erfahren Sie mehr darüber, wie diese Sicherheitsanfälligkeit entdeckt wurde
CredSSP-Sicherheitsanfälligkeit
Am Patch-Dienstag im März veröffentlichte Microsoft einen Patch für CVE-2018-0886, eine Sicherheitsanfälligkeit, die von Preempt-Forschern (jetzt CrowdStrike) entdeckt wurde., Die Sicherheitsanfälligkeit besteht aus einem logischen Fehler im Credential Security Support Provider Protocol (CredSSP), das von RDP (Remote Desktop Protocol) und Windows Remote Management (WinRM) verwendet wird und für die sichere Weiterleitung von Anmeldeinformationen an Zielserver sorgt.
Die Sicherheitsanfälligkeit kann von Angreifern ausgenutzt werden, indem ein Man-in-the-Middle-Angriff verwendet wird, um Code remote auf zuvor nicht infizierten Computern im angegriffenen Netzwerk auszuführen., Die Sicherheitsanfälligkeit kann in vielen realen Szenarien, in denen das Opfernetzwerk über anfällige Netzwerkgeräte verfügt, dazu führen, dass ein Angreifer die Möglichkeit erhält, sich seitlich im Netzwerk des Opfers zu bewegen und sogar Domänencontroller mit schädlicher Software zu infizieren. Zum Zeitpunkt dieser ursprünglichen Veröffentlichung wurden von Preempt keine Angriffe in freier Wildbahn festgestellt.
Lesen Sie mehr über die CredSSP-Schwachstelle
Erfahren Sie mehr
Einer der bekanntesten Zero-Day-Angriffe ist Stuxnet, der Wurm, von dem angenommen wird, dass er für erhebliche Schäden am iranischen Atomprogramm verantwortlich ist., Dieser Wurm nutzte vier verschiedene Zero-Day-Schwachstellen im Microsoft Windows – Betriebssystem aus.
Erkennen und Verteidigen von Zero-Day-Angriffen
Um Zero — Day-Angriffe effektiv zu erkennen und zu mildern, ist eine koordinierte Verteidigung erforderlich-eine, die sowohl Präventionstechnologie als auch einen gründlichen Reaktionsplan umfasst im Falle eines Angriffs., Unternehmen können sich auf diese verstohlenen und schädlichen Ereignisse vorbereiten, indem sie eine vollständige Endpunktsicherheitslösung bereitstellen, die Technologien wie Next-Gen Antivirus (NGAV), Endpoint Detection and Response (EDR) und Threat Intelligence kombiniert.
Da sich Software mit Sicherheitslücken in der Umgebung eines Unternehmens befinden kann, ist ein versuchter Verstoß unvermeidlich Es ist daher wichtig, Endpunktsicherheit mit Anti-Exploit-und Post-Exploit-Funktionen zu haben.,
Um die Verteidigung zu optimieren, sollten Organisationen die beste Präventionstechnologie am Angriffspunkt implementieren und gleichzeitig einen Plan für Worst-Case-Szenarien haben. Wenn ein Angreifer erfolgreich in das Netzwerk einsteigt, verfügt das Sicherheitsteam über die Tools, Prozesse und Technologien, um das Ereignis zu mildern, bevor ein echter Schaden angerichtet wird.
CrowdStrike Falcon ® Endpoint Protection ermöglicht es Unternehmen, Zero-Day-Exploits am Angriffspunkt mithilfe von maschinellem Lernen und Verhaltensanalysen zu blockieren., Die Falcon-Plattform enthält auch eine automatische Erkennungs-und Präventionslogik für Aktivitäten nach der Ausbeutung, sodass Sicherheitsteams sofort Einblick in einen Angriff erhalten können, auch wenn andere Abwehrmaßnahmen umgangen werden.
Sehen Sie sich das Video unten an, um zu sehen, wie die Falcon-Plattform einen Zero-Day-Angriff auf ihren Spuren stoppt:
Falcon erkennt nicht nur Angriffsindikatoren (IOAs), sondern enthält auch Exploit-Minderungstechnologie, um die erfolgreiche Nutzung des zugrunde liegenden Betriebssystems zu verhindern., Infolgedessen wird verhindert, dass ein Gegner gängige Ausnutzungstechniken verwendet, da die Ausführung von Exploit-Code am Endpunkt in Echtzeit gestoppt wird, wodurch Zero-Day-Angriffe blockiert werden, bei denen zuvor unentdeckte Malware verwendet wird.
Falcons Kombination aus IOA-basierter Präventionstechnologie und Exploit-Minderungstechniken ist eine leistungsstarke Verteidigung gegen unbekannte Zero-Day-Bedrohungen.
Um mehr über CrowdStrike ® Falcon zu erfahren und eine kostenlose Testversion anzufordern, klicken Sie auf die Schaltfläche unten:
Kostenlose Testversion starten