kridda
Goto Top

Angriff am Tag Null - was sind Zero-Day-Angriffe?

Hallo, kann mir jemand mehr über Zero-Day-Angriffe erzählen? Ich habe kürzlich davon gehört und würde gerne mehr darüber erfahren.

Content-ID: 4232283623

Url: https://administrator.de/forum/angriff-am-tag-null-was-sind-zero-day-angriffe-4232283623.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

hillux
hillux 11.10.2022 um 11:12:32 Uhr
Goto Top
Hallo, das ist wirklich ein sehr interessantes Thema. Das Problem ist bis heute ungelöst. Eine Zero-Day-Schwachstelle ist eine Schwachstelle im Programmcode, die den Entwicklern und Testern nicht aufgefallen ist, d. h. ein Problem, das nur dem Hacker bekannt ist, so dass es 0 Tage Zeit gibt, sich auf einen solchen Angriff vorzubereiten. Mehr darüber erfahren Sie unter www.bennyn.de/allgemein/zero-day-angriff-definition-und-erlaeuterung.html. Es gibt Möglichkeiten, sich vorzubereiten und die Wahrscheinlichkeit eines solchen Angriffs zu minimieren.
kpunkt
kpunkt 11.10.2022 um 11:33:47 Uhr
Goto Top
Ja, Wikipedia, ich weiß.
Aber dennoch ein guter Überblick.
Wusste nicht, dass es diese Seite gibt. Hat mir eine Suchmaschine verraten.

https://en.wikipedia.org/wiki/Zero-day_(computing)
108012
108012 11.10.2022 um 11:57:22 Uhr
Goto Top
Hallo,

Zero-Day-Angriffe
Das sind Fehler die noch keinen Tag alt sind und niemand ein Update dazu hat, publiziert sind die auch noch nicht
und von daher kann man auch oft kein Gegenmaßnahmen dazu einleiten.

Dobby
Doskias
Doskias 11.10.2022 um 12:21:24 Uhr
Goto Top
Moin,

Zitat von @hillux:
[...] so dass es 0 Tage Zeit gibt, sich auf einen solchen Angriff vorzubereiten.

Zitat von @108012:
[...] und von daher kann man auch oft kein Gegenmaßnahmen dazu einleiten.

Das würde ich nur bedingt unterschreiben. oft sind es Bequemlichkeiten, die einen solchen Angriff überhaupt zulassen. Bei einer sauberen und richtig durchdachten Sicherheitsstrategie, entfallen bei Zero-Day-Lücken häufig die Angriffvektoren. Aus dem Link von @hillux nur ein beispiel:
Das Ergebnis von Day Zero in Word im Jahr 2017 war die Kompromittierung persönlicher Bankkonten. Die Opfer waren Personen, die unwissentlich ein bösartiges Word-Dokument geöffnet haben.
lässt sich durch (a) Mitarbeiterschulungen verhindern. Stichwort: Wieso öffne ich Dokumente von Fremden. Darüber hinaus (b) gibt es Firewalls, den Inhalt scannen und das Verhalten, nict den Code, prüfen.
Das Dokument zeigte eine Aufforderung zum Herunterladen von Remote-Inhalten, ein Popup-Fenster, in dem externer Zugriff von einem anderen Programm angefordert wurde.
Auch hier helfen (a) Schulungen und (b) darüber hinaus lässt sich das Herunterladen von Remote-Inhalten per GPO verbieten. Dann hab ich als Administrator aber wieder mehr Aufwand, wenn das doch gebraucht wird. Zuletzt greift hier auch noch (Lösung C) die White-Liste-Firewall, denn wenn ich die Seite des Nachaldecodes nicht freigebe, dann kann ich das Word-Dokument so oft öffnen wie ich will. Wenn das Nachladen des Codes blockiert wird, dann passiert mir nichts. Aber eine White-List-Firewall ist halt unbequem.
Beim Klicken auf die Schaltfläche „Ja“ wurde Malware auf den Geräten der Benutzer installiert, die die Zugangsdaten für die Anmeldung bei der Internetbank abfing.
Auch hier hilft wieder die White-List-Firewall, die sowohl den Installer als auch das Senden der Daten unterbinden kann, vorausgesetzt die entsprechende Seite wurde nicht kompromittiert. Und auch hier stellt sich die Frage: Wieso kann der normale User eigentlich Programme installieren und ist mit Adminrechten unterwegs. Selbst zuhause am privatem Rechner empfiehlt es sich nicht permanent mit Adminrechten zu arbeiten und bei Bedarf den Account zu wechseln. Aber auch hier: ist halt unbequemer.

Und auch bei dem aktuelle Exploit die Frage: Muss ich wirklich meine Handys und PCs per Active-Sync von außen zulassen? Das hängt sicherlich vom Unternehmen und von der Person im Unternehmen ab, aber bei uns (3-Stellige Mitarbeiterzahl) braucht selbst der Geschäftsführer keine Active-Sync-Verbindung von außen. Entweder er hat Zeit seine Mails zu bearbeiten, dann ist er via VPN verbunden und liest sie im Outlook oder er ist unterwegs. Ist er Unterwegs und es kann irgendwas nicht warten, dann wird er von seiner Assistenz angerufen und schaltet sich per VPN drauf. Ansonsten gilt für die Mitarbeiter: Feierabend ist Feierabend (ja auch für die IT) und wenn es nicht warten kann, dann ruft man halt an. Und auch hier: Ja, ist unbequemer als Active-Sync einzurichten, aber halt auch sicherer.

Gruß
Doskias