Ja, es gibt mehrere berühmte Zero-Day-Exploits, die die Geschichte der Cybersicherheit geprägt haben. Einer der bekanntesten ist Stuxnet, eine Malware, die 2010 entdeckt wurde und dazu diente, Nuklearz trifugen im Iran zu sabotieren. Sie nutzte mehrere Zero-Day-Schwachstellen in Windows aus und offenbarte das hohe Niveau bestimmter offensiver Cyberoperationen.
Ein weiteres Beispiel ist WannaCry, eine Ransomware, die 2017 Hunderttausende von Computern befallen hat und eine Windows-Schwachstelle ausnutzte, die von der Gruppe Shadow Brokers aufgedeckt wurde. Obwohl kurz vor dem Angriff ein Patch veröffentlicht wurde, waren viele Systeme nicht auf dem neuesten Stand, was zeigt, dass das Patch-Management ein schwaches Glied bleibt. Diese Beispiele verdeutlichen die verheerenden Auswirkungen, die ungepatchte Schwachstellen haben können.
Ein Pentest kann manchmal eine Zero-Day-Schwachstelle aufdecken, dies ist jedoch nicht garantiert. Pentester stützen sich hauptsächlich auf bekannte Schwachstellen (CVEs, Fehlkonfigurationen, riskante Praktiken), aber es kann vorkommen, dass ein manueller Test, eine bestimmte Angriffslogik oder Intuition die Entdeckung einer bisher unbekannten Schwachstelle ermöglicht.
Die Entdeckung von Zero-Day-Schwachstellen im Rahmen eines Pentests ist jedoch selten und hängt vom Detaillierungsgrad der Analyse, der Erfahrung der Tester und der Komplexität des getesteten Systems ab. Aus diesem Grund beinhalten einige sehr fortschrittliche Pentests Fuzzing- oder Code-Audit-Phasen, die speziell auf die Suche nach Zero-Day-Schwachstellen ausgerichtet sind, insbesondere in Kontexten mit hohen Risiken (Verteidigungssektor, Finanzen, kritische Infrastrukturen).
Zero-Day-Schwachstellen sind besonders gefährlich, weil sie den Herstellern, den Benutzern und oft auch den herkömmlichen Sicherheitslösungen (Antivirus, IDS usw.) unbekannt sind. Das bedeutet, dass es zum Zeitpunkt des Angriffs keinen Fix, keinen Patch und oft auch keinen Mechanismus zur Erkennung oder zum Schutz gibt.
Angreifer können sie daher unentdeckt ausnutzen, oft im Rahmen gezielter und ausgefeilter Angriffe (Cyberespionage, Sabotage, längerfristiger Zugriff auf ein System). Ihr Wert ist so hoch, dass einige Zero-Days im Dark Web oder an staatliche Akteure für Hunderttausende von Euro verkauft werden.
Eine CVE (Common Vulnerabilities and Exposures) ist eine Sicherheitslücke, die bereits identifiziert, dokumentiert und in einer offiziellen Datenbank veröffentlicht wurde. Sie ist der Öffentlichkeit bekannt und in der Regel sind Patches in Arbeit oder bereits verfügbar. Im Gegensatz dazu ist eine Zero-Day-Schwachstelle eine noch nicht offengelegte Schwachstelle, die zum Zeitpunkt ihrer Entdeckung noch nicht in einer CVE registriert ist.
Mit anderen Worten: Jede Zero-Day-Schwachstelle kann zu einer CVE werden, aber nicht jede CVE ist eine Zero-Day-Schwachstelle. Das größte Risiko einer Zero-Day-Schwachstelle besteht darin, dass sie ausgenutzt werden kann, bevor sie überhaupt gemeldet wird, während eine CVE per Definition eine Schwachstelle ist, die sich in der Bearbeitungs- oder Korrekturphase befindet.
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, die dem Hersteller oder Herausgeber einer Software, Hardware oder eines Systems unbekannt ist. Sie wird als «Zero-Day» bezeichnet, weil der Herausgeber null Tage Zeit hatte, die Schwachstelle zu beheben, als sie entdeckt oder ausgenutzt wurde. Es gibt daher noch keinen offiziellen Patch oder eine öffentliche Meldung.
Diese Schwachstellen können monate- oder sogar jahrelang unentdeckt bleiben. Wenn sie von Cyberkriminellen oder staatlichen Gruppen gefunden werden, können sie diskret ausgenutzt werden, was ihre potenziellen Auswirkungen sehr gravierend macht.
Die Ausnutzung einer Zero-Day-Schwachstelle beruht auf der Entwicklung eines spezifischen Exploits, d. h. eines Codes oder einer Methode, die die Schwachstelle ausnutzen kann, bevor sie behoben wird. Der Angreifer kann ihn in ein manipuliertes Dokument, eine Website, eine Malware oder eine Phishing-E-Mail integrieren.
Sobald der Exploit gestartet wurde, kann er die Kontrolle über das System ermöglichen, ein Trojanisches Pferd installieren, eine Hintertür öffnen oder Daten extrahieren. Das Besondere an einem Zero-Day-Exploit ist, dass er sich den klassischen Erkennungsmechanismen entzieht, da er auf einer Schwachstelle beruht, die noch niemand kennt.