• Was ist ein Zero Day Exploit

Was ist ein Zero Day Exploit?

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

Zero Day Exploits zählen zu den gefährlichsten Bedrohungen in der IT-Sicherheit. Sie nutzen bisher unbekannte Schwachstellen in Software aus, für die es noch keine Schutzmaßnahmen gibt – was sie besonders heimtückisch macht. Diese Art von Angriff wird häufig von Hackern, aber auch von Geheimdiensten eingesetzt, um unbemerkt Systeme zu kompromittieren. In diesem Beitrag erfahren Sie, wie Zero Day Exploits funktionieren, welche Formen sie annehmen können und wie man sich bestmöglich gegen sie schützt.

23.04.2025|zuletzt aktualisiert:23.04.2025

Bei einem Zero Day handelt es sich um eine Schwachstelle in einer Software, die dem Hersteller noch nicht bekannt ist und für die noch kein Patch oder Fix zur Verfügung steht. In anderen Worten: Der Hersteller hatte bisher “zero days” – also null Tage – Zeit, um die Schwachstelle zu beheben – denn er wusste nicht von ihrer Existenz. Ein Exploit ist der Code oder die Technik zur Ausnutzung dieser Schwachstelle.

Bei einem Zero Day Exploit wird also versucht, eine solche Sicherheitslücke auszunutzen. Entsprechend spricht man von einem Zero-Day-Angriff, wenn das betroffene System durch ein Zero Day Exploit bedroht wird. Hacker und staatliche Akteure halten Zero Day Exploits gerne geheim, um sie lange ausnutzen oder zum richtigen Zeitpunkt gewinnbringend veräußern zu können.

Solche Schwachstellen können über Monate oder Jahre hinweg unentdeckt bleiben, bevor sie entdeckt werden. In dieser Zeit können Angreifer Daten stehlen oder kopieren und sensible Systeme beschädigen, bis der Hersteller den Fehler erkennt und behebt.

Wie funktioniert ein Zero Day Exploit?

Bei einem Zero Day Exploit wird eine unbekannte Schwachstelle in einer Software ausgenutzt. In den meisten Fällen geht es darum, fremden Code auszuführen oder Sicherheitsmechanismen zu umgehen. Dazu braucht es zunächst einmal drei Dinge:

  • eine Schwachstelle
  • einen Exploit Code, der die Schwachstelle ausnutzt und beispielsweise per E-Mail verteilt wird
  • ein Zielsystem, das diese Schwachstelle noch nicht gepatcht hat.

Um Schwachstellen zu entdecken, nutzen Hacker entweder das sogenannte “fuzzing”, also das automatisierte Testen mit Zufallsdaten, oder sie analysieren manuell vorhandenen Code mittels reverse engineering.

Wird eine Schwachstelle gefunden, wird Code geschrieben, der beispielsweise das Erlangen von Administratorrechten oder direkt das Abgreifen von Daten zum Ziel hat.

Nachdem der Schadcode getestet wurde, wird er “verpackt”, das heißt, er wird in ein PDF-Dokument, eine Website oder ein Office-Dokument eingebettet – und an die Opfer versendet.

Welche Arten von Zero Day Exploits gibt es?

Zu den verbreitetsten Zero Day Exploits gehören:

Remote Code Execution (RCE)

Ausgangspunkt von Angriffen mit Remote Code Execution ist in der Regel eine Schwachstelle in einer öffentlich zugänglichen Anwendung, die die Ausführung von Schadprogrammen und damit die Ausführung unerwünschter Befehle auf dem zugrundeliegenden Rechner ermöglicht.

Privilege Escalation

Privilege Escalation bezeichnet die unautorisierte Erhöhung der Privilegien, die einem angemeldeten Benutzer zugeordnet sind, der einer bestimmten Rechtegruppe angehört. Beispiel: Ein Angreifer hat Zugang zu einem einfachen Benutzerkonto und nutzt den Exploit, um Root-Rechte zu erlangen.

Zero-Click Exploits

Ein Zero-Click-Exploit ist darauf ausgelegt, ohne Interaktion des Benutzers zu funktionieren. Die meisten Zero-Klick-Exploits versuchen, Schwachstellen in Applikationen auszunutzen, die nicht vertrauenswürdige Daten annehmen und verarbeiten. Besonders gefährlich sind diese Exploits auf Smartphones, beispielsweise über iMessage, WhatsApp oder MMS.

Sandbox Escape

Ein Sandbox Exploit ist die Ausnutzung einer Schwachstelle in einer Software, um aus einer sicheren oder unter Quarantäne stehenden Umgebung – der Sandbox – auszubrechen.

Supply Chain Exploit

Ein Supply Chain Exploit richtet sich nicht gegen das eigentliche Ziel, sondern gegen unterstützende Prozesse, in die man ein gewisses Vertrauen hat. Der Angriff selbst richtet sich also gegen Dritte und kann sich sowohl gegen Personen/Firmen als auch gegen Hardware oder Software richten.

Netzwerk-Exploits

Die Exploits zielen auf Netzwerkdienste wie RDP, VPNs oder Router oder und lassen sich per Netzwerkverbindung durchführen.

File-Based Exploits

Diese Exploits sind in Dateien eingebettet, wie zum Beispiel Word-Dokumente, PDF-Dokumente oder ZIP-Dateien.

Web Exploits

Web Exploits zielen auf den Browser oder Web-Plugins (Flash, PDF, JavaScript) und werden oft durch den Besuch von Webseiten ausgelöst.

Zero Day Schwachstelle in Google Chrome 2021

Im Jahr 2021 wurde in Google Chrome eine kritische Zero-Day-Sicherheitslücke entdeckt, die aktiv ausgenutzt wurde. Die Schwachstelle, bekannt als CVE-2021-30563, betraf die JavaScript-Engine V8 und ermöglichte Angreifern, durch speziell präparierte Webseiten beliebigen Code auf den betroffenen Systemen auszuführen. Google reagierte umgehend mit einem Sicherheitsupdate für Windows, macOS und Linux, um die Lücke zu schließen. Nutzer wurden dringend aufgefordert, ihre Browser auf die Version 91.0.4472.164 zu aktualisieren, um potenzielle Angriffe zu verhindern.

Zero Day Exploits und E-Mail-Sicherheit

In Bezug auf E-Mail und E-Mail-Sicherheit sind verseuchte Anhänge (zum Beispiel ein PDF- oder Office-Dokument oder HTML-Anhänge) das Haupteinfallstor für Zero Day Exploits. Aber auch Links in E-Mails, die zu verseuchten Websites führen, werden von Kriminellen eingesetzt.

Zur Vorbereitung solcher Angriffe kommt in vielen Fällen Spear Fishing zum Einsatz. Mit diesen gezielten Angriffen sollen die Opfer zu bestimmten Handlungen bewegt werden oder dazu gebracht werden, Informationen herauszugeben. Die Herausforderung für die Kriminellen ist hierbei stets, Glaubwürdigkeit herzustellen – und es gelingt ihnen.

Warum ist ein Zero Day Exploit gefährlich?

Ein Zero Day Exploit ist so gefährlich, weil er eine geheime Tür in ein System ist, die niemand außer dem Angreifer kennt. Da die Schwachstelle noch nicht bekannt ist, gibt es auch keine Gegenmaßnahmen – Angriffe können also ohne Gegenwehr stattfinden: keine Updates, Patches, Warnungen oder ähnliches sind zum Zeitpunkt des Angriffs verfügbar.

Viele Opfer sind sich nicht darüber bewusst, dass sie gerade angegriffen werden. So können die Kriminellen ungestört Systeme übernehmen, Daten stehlen, Netzwerke infiltrieren und vieles mehr.

Dementsprechend haben Zero Day Exploits einen hohen Wert für Kriminelle: Die Exploits werden für bis zu mehrere Millionen Dollar gehandelt und im Darknet verkauft – und in vielen Fällen von Geheimdiensten gekauft.

Aber es gibt auch legalen Handel mit Zero Day Exploits, denn Anbieter wie Google Project Zero oder CrowdStrike zahlen im Rahmen von Bug-Bounty-Programmen hohe Summen, um Schwachstellen aufzuspüren.

Wie kann man Zero Day Exploits verhindern?

Verhindern kann man Zero-Day-Angriffe grundsätzlich nicht: Wäre man sich der Existenz einer Schwachstelle bewusst, würde man sie ja beseitigen. Es gibt aber Möglichkeiten, das Risiko eines Angriffs gering zu halten und die möglichen Konsequenzen einzudämmen:

  • Least-Privilege-Prinzip

    Mitarbeiter erhalten nur Zugriff auf das, was sie benötigen. So kann ein gehackter Computer nicht das gesamte Netzwerk kompromittieren.

  • Verhaltensschulungen

    Phishing ist oft das Einfallstor für Zero-Day-Angriffe. Schulungen helfen, Mitarbeiter zu sensibilisieren und verdächtige E-Mails zu erkennen.

  • Regelmäßige Updates der E-Mail-Sicherheitssoftware

    Viele Angriffe basieren auf alten Schwachstellen. Das zeitnahe Einspielen von Updates schließt bekannte Schwachstellen und verhindert, dass ein Zero Day mit anderen Schwachstellen kombiniert wird.

  • Segmentierung von Netzwerken

    Das Unterteilen von Netzwerken in Zonen (beispielsweise Entwicklung, Buchhaltung und Marketing) verhindert die Ausbreitung von Schadsoftware.

  • Netzwerk-Monitoring

    Das Monitoring von Systemen dient dazu, ungewöhnliche Datenverkehrsaktivitäten, Dateifreigabeanfragen, Datenbankabfragen oder ähnliches zu erkennen.

  • Firewalls

    Eine Firewall verhindert das unautorisierte Scannen von Ports und blockiert den Zugriff auf verschiedene Dienste.

  • Inhaltsfilter nutzen

    Verwenden Sie einen Filter, der Office- oder PDF-Anhänge automatisch in risikoarme PDF-Dateien umwandelt – regelbasiert und ohne manuellen Aufwand.

  • Absenderreputation prüfen

    Schützen Sie Ihre E-Mail-Kommunikation, indem Sie die Vertrauenswürdigkeit von Absendern systematisch überprüfen.

  • CxO Fraud erkennen

    Prüfen Sie mit einer entsprechenden Software, ob Vor- und Nachnamen von Unternehmensbenutzern missbraucht werden und ob Domains, die Ihrer ähneln, von Kriminellen verwendet werden.

  • Regelmäßige Scans

    Das Scannen auf Schwachstellen kann Zero Day Exploits aufdecken. Bestimmte Software kann Angriffe auf Software-Code simulieren, Code-Überprüfungen durchführen und versuchen, neue Schwachstellen zu finden.

Sie haben NoSpamProxy noch nicht im Einsatz?

Mit NoSpamProxy können Sie Ihr Unternehmen zuverlässig vor Scamming-Angriffen schützen und von vielen weiteren Sicherheitsfunktionen profitieren. Fordern Sie jetzt Ihre kostenlose Testversion an!

NoSpamProxy kostenfrei testen
UPDATE: Neue Richtlinien für E-Mail-Absender bei Google: Was Sie tun müss...Info Icon