Zero-Day-Schwachstelle.

Die Zero-Day-Schwachstelle trägt ihren Namen, weil Verteidiger bei ihrem Auftauchen „null Tage" hatten, um einen Fix vorzubereiten. Solche Lücken sind hochbegehrt: Regierungen, Exploit-Broker und kriminelle Gruppen zahlen sechs- und siebenstellige Summen für funktionierende Exploits, und APT-Akteure nutzen sie für verdeckte Einbrüche.

Zwei Fälle zeigen das Spektrum. Stuxnet (2010) verkettete vier zuvor unbekannte Windows-Zero-Days — darunter die LNK-Verknüpfungslücke CVE-2010-2568 — um sich offline zu verbreiten und iranische Uran-Zentrifugen zu sabotieren. FORCEDENTRY (CVE-2021-30860), von Apple im September 2021 gepatcht, war ein Zero-Click-Integer-Overflow im CoreGraphics-Bildparser, mit dem die Pegasus-Software der NSO Group iPhones ganz ohne Nutzerinteraktion kompromittierte. Die Threat Analysis Group von Google hat in den letzten Jahren eine Rekordzahl von in freier Wildbahn ausgenutzten Zero-Days erfasst, die meisten in Browsern, mobilen Betriebssystemen und Security-Appliances.

Die Verteidigung gegen Zero-Days stützt sich auf gestaffelte Kontrollen: Exploit-Mitigationen (ASLR, CFG/CET, Sandboxing), verhaltensbasierte EDR/XDR-Erkennung von Post-Exploitation-Aktivitäten, Netzwerksegmentierung, virtuelles Patchen via WAF/IPS und schnelle koordinierte Offenlegung, sobald Forscher die Lücken finden. Sobald ein Hersteller einen Fix ausliefert, wird die Lücke zu einer N-Day-Schwachstelle — weiterhin gefährlich, bis alle gepatcht haben.

flowchart LR
  A[Fehler existiert, Hersteller ahnungslos] --> B[Angreifer entdeckt ihn]
  B --> C[Bewaffnung zu einem Exploit]
  C --> D[Ausnutzung in freier Wildbahn]
  D --> E[Hersteller erfaehrt von Angriffen]
  E --> F[Patch veroeffentlicht]
  F --> G[Jetzt eine N-Day-Schwachstelle]