Was ist ein Zero-Click-Exploit?

Zero-Click-Exploits sind im Zusammenspiel mit Zero-Day-Schwachstellen besonders gefährlich. Das sollten Sie zum Thema wissen.
Von 
CSO | 06. Juli 2022 05:13 Uhr
No Clicks needed: Zero-Click-Exploits stellen eine besonders raffinierte Bedrohung dar, der extrem schwer beizukommen ist.
No Clicks needed: Zero-Click-Exploits stellen eine besonders raffinierte Bedrohung dar, der extrem schwer beizukommen ist.
Foto: Patty Chan - shutterstock.com

Im Gegensatz zu den meisten Cyberangriffen zeichnen sich Zero-Click-Exploits dadurch aus, dass sie keine Nutzerinteraktionen wie den Klick auf einen Link, die Aktivierung von Makros oder das Starten von Executables erfordern. Es handelt sich um raffinierte Exploits, die häufig im Rahmen von Cyberspionage-Kampagnen zum Einsatz kommen und im Regelfall nur wenige Spuren hinterlassen.

Sobald ein Device auf diese Art und Weise kompromittiert wurde, kann der Angreifer Überwachungssoftware installieren oder destruktivere Strategien verfolgen, etwa Dateien verschlüsseln und dann Lösegeld erpressen. Besonders kritisch dabei: Betroffene können meist nicht erkennen, wann und wie sie durch einen Zero-Click-Angriff infiziert wurden - entsprechend begrenzt sind die Möglichkeiten, sich davor zu schützen.

Wie Zero-Click-Exploits funktionieren

Zero-Click-Angriffe haben in den letzten Jahren an Popularität gewonnen - getrieben vor allem durch die rasant wachsende Überwachungsindustrie. Eines der berüchtigtsten Spionageprogramme ist etwa Pegasus, das zur Überwachung von Journalisten, Aktivisten, Politikern und Unternehmenslenkern eingesetzt wurde. Zwar ist unklar, wie die Betroffenen im Einzelnen kompromittiert wurden, es steht jedoch die Vermutung im Raum, dass das unter anderem über einen WhatsApp-Anruf abgelaufen ist, der nicht beantwortet werden musste.

Weil sie ohne Zutun des Benutzers große Datenmengen aus unbekannten Quellen erhalten können, sind Messaging-Apps häufig ein Ziel von Zero-Click-Attacken. Dabei nutzen die Angreifer meist Schwachstellen aus, die mit der Datenvalidierung oder -verarbeitung in Zusammenhang stehen. "Andere, weniger bekannte Zero-Click-Angriffsarten sind bisher unter dem Radar geblieben", weiß Aamir Lakhani, Cybersecurity-Forscher bei Fortinet, und nennt zwei Beispiele:

  • Parser-Application-Exploits: Während ein Benutzer ein Bild in einer PDF- oder Mail-Anwendung betrachte, nutze der Angreifer ohne Zutun des Users stillschweigend ein System aus.

  • WiFi-Proximity-Attacken: Diese Angriffe zielten darauf ab, Exploits in einem WiFi-Stack zu finden und Schadcode in den Benutzerbereich des Kernels zu laden, um Systeme aus der Ferne zu übernehmen.

Zero-Click-Angriffe beruhen häufig auf Zero-Day-Schwachstellen, die dem Hersteller einer Software noch nicht bekannt sind und die deswegen nicht gepatcht werden. "Selbst sehr aufmerksame und geschulte Benutzer können diese Zero-Day- und Zero-Click-Angriffe nicht vermeiden", resümiert Lakhani.

Zum Einsatz kommen Angriffe dieser Art häufig gegen hochrangige Ziele. Auch weil sie enorme Kosten verursachen: "Das Security-Unternehmen Zerodium kauft Schwachstellen auf dem offenen Markt und zahlt beispielsweise für Zero-Click-Schwachstellen in Android bis zu 2,5 Millionen Dollar", weiß Ryan Olson, Vice President of Threat Intelligence, bei Palo Alto Networks.

Zero-Click-Beispiele

Ein Zero-Click-Angriff kann jedes Gerät betreffen - vom Smartphone über den Desktop PC bis hin zum IoT Device. Bereits im Jahr 2010 demonstrierte der Sicherheitsforscher Chris Paget im Rahmen der Security-Konferenz DEFCON18, wie einfach sich Telefongespräche und Textnachrichten mit Hilfe einer Schwachstelle im GSM-Protokoll abfangen lassen:

Weitere Beispiele für Zero-Click-Bedrohungen:

  • Im Jahr 2015 nutzte die Android-Malware-Familie Shedun legitime Funktionen des Android Accessibility Service aus, um Adware und Apps ohne Zutun der Benutzer zu installieren.

  • 2016 wurde ein Zero-Click-Angriff in das von den Vereinigten Arabischen Emiraten eingesetzte Überwachungstool Karma implementiert. Dabei wurde eine Zero-Day-Schwachstelle im Apple-Dienst iMessage ausgenutzt. Zur Kompromittierung reichte eine Telefonnummer oder E-Mail-Adresse aus, an die eine Textnachricht versendet wurde. Eine Interaktion des Benutzers war dabei nicht notwendig: Nach Eingang der Nachricht konnten die Angreifer unter anderem auf Fotos, E-Mails und Standortdaten zugreifen. Das Tool namens "Project Raven" wurde unter anderem von Geheimdiensten genutzt, um Regierungen und Menschenrechtsaktivisten zu überwachen.

  • Gegen Ende der 2010er Jahre wurden Zero-Click-Exploits und die entsprechenden Tools bei Überwachungsunternehmen und staatlichen Akteuren immer beliebter, wie Etienne Maynier, Technologieexperte bei Amnesty International unterstreicht: "Angriffe, die früher mit Links in SMS abliefen wurden zu Zero-Click-Angriffen, die durch Network Injections bewerkstelligt wurden." Ein Ergebnis war die Spyware Pegasus, die mit mehreren Mordfällen in Verbindung gebracht wird - unter anderem mit der Hinrichtung des Washington-Post-Journalisten Jamal Khashoggi. Sobald Pegasus auf einem Telefon installiert ist, können die Angreifer Textnachrichten lesen, Anrufe verfolgen, den Standort des Opfers überwachen, auf Mikrofon und Kamera zugreifen, Passwörter sammeln und Informationen aus Apps abrufen.

  • Im Jahr 2019 wurde eine Schwachstelle in WhatsApp ausgenutzt, um Politiker und Prominente in Spanien zu kompromittieren. Die Angriffe begannen mit einem Videoanruf über WhatsApp, der nicht beantwortet werden musste. Die Kompromittierung wurde wegen eines Fehlers in der Datenbereinigung möglich. WhatsApp hat diese Schwachstelle inzwischen gepatcht und die davon betroffenen 1.400 Nutzer benachrichtigt.

  • 2020 wurde eine Zero-Click-Schwachstelle in Microsoft Teams bekannt, die kriminellen Hackern Zugriff auf Zielgeräte unter allen gängigen Betriebssystemen (Windows, MacOS, Linux) ermöglichte.

  • Ein weiterer ausgeklügelter Zero-Click-Angriff, der mit Pegasus in Verbindung gebracht wird, basiert auf einer Sicherheitslücke in Apples iMessage. Im Jahr 2021 fand Citizen Lab Spuren dieser Schwachstelle, die für den Angriff auf einen saudischen Aktivisten genutzt wurde. Dabei macht sich der Exploit eine iMessage-Schwachstelle zunutze, die mit dem Parsing von GIFs im Zusammenhang steht. Der Schadcode konnte so mit einem als GIF getarntem .pdf verbreitet werden.

  • Im Jahr 2021 ermöglichte eine Zero-Click-Schwachstelle nicht authentifizierten Angreifern, Sicherheitskameras der Marke "Hikvision" zu übernehmen.

Zero-Click-Angriffe erkennen und abwehren

Realistisch betrachtet ist es ein schwieriges Unterfangen, herauszufinden, ob ein Opfer infiziert ist - sich vor Zero-Click-Angriffen zu schützen, daher nahezu unmöglich.

"Zero-Click-Angriffe sind verbreiteter als wir bisher angenommen haben", räumt Maynier ein. Der Amnesty-International-Experte empfiehlt potenziellen Opfern, ihre Daten zu verschlüsseln, ihre Gerätesoftware aktuell zu halten, sichere Passwörter zu verwenden und alles in ihrer Macht Stehende zu tun, um ihr digitales Leben zu schützen. "Gehen Sie davon aus, dass sie kompromittiert werden könnten und stellen Sie sich darauf ein, dass es dazu kommt", so sein unter Umständen etwas entmutigender Rat. Dennoch könnten die Benutzer einige Maßnahmen treffen, um das Risiko, ausspioniert zu werden, zu minimieren:

  • Am einfachsten sei es im Fall eines iPhones, das Telefon regelmäßig neu zu starten. Experten von Amnesty hätten belegt, dass das Pegasus zumindest vorübergehend in seiner Funktion einschränken kann und jeglichen Code deaktiviert, der noch keine Persistenz erreicht hat. Der Nachteil sei jedoch, dass ein Neustart des Geräts die Anzeichen für eine Infektion auslöschen kann, wodurch es im Nachhinein wesentlich schwieriger werde, eine Infektion mit Pegasus festzustellen.

  • Benutzer sollten es auch vermeiden, ihre Geräte zu jailbreaken, da dadurch einige der in die Firmware integrierten Sicherheitskontrollen entfernt werden. Da auf solchen Geräten zudem ungeprüfte Software installiert werden kann, bestehe eine gesteigerte Gefahr, einem Zero-Click-Angriff zum Opfer zu fallen.

  • Darüber hinaus sei eine gute Sicherheitshygiene hilfreich. "Die Segmentierung von Netzwerken, Anwendungen und Nutzern, die Verwendung einer mehrstufigen Authentifizierung, die Überwachung des Datenverkehrs, eine gute Cybersecurity-Hygiene und fortschrittliche Sicherheitsanalysen können die Risiken in bestimmten Situationen abschwächen", meint Lakhani. "Diese Maßnahmen erschweren den Angreifern auch die Aktivitäten nach dem Angriff, selbst wenn sie die Systeme kompromittiert haben."

  • Maynier fügt hinzu, dass hochrangige Ziele ihre Daten trennen und nur ein Gerät für sensible Kommunikation nutzen sollten. Er empfiehlt den Nutzern, so wenig Informationen wie möglich auf ihrem Telefon zu speichern und es bei wichtigen persönlichen Gesprächen nicht im gleichen Raum zu belassen.

  • Organisationen wie Amnesty und Citizen Lab haben Leitfäden veröffentlicht, mit deren Hilfe Benutzer ihr Smartphone auf eine Pegasus-Infektion überprüfen können. Die dafür verwendete Software, "Mobile Verification Toolkit", stützt sich auf bekannte Indikatoren für eine Kompromittierung.

Technologie allein werde das Problem allerdings nicht lösen, meint Amnesty-Spezialist Maynier: "Das ist letztlich eine Sache der Politik und der Regulierung. Amnesty, EDRi und viele andere Organisationen fordern ein weltweites Moratorium für den Einsatz, den Verkauf und die Weitergabe von Überwachungstechnologie, bis ein angemessener Rechtsrahmen geschaffen ist, der vor dem Missbrauch dieser Instrumente schützt."

Die politischen Antworten müssten dabei verschiedene Aspekte dieses Problems abdecken - von der Exportkontrolle bis hin zu einer obligatorischen, menschenrechtlichen Sorgfaltsprüfung für Unternehmen, so Maynier. "Wir müssen diesem weit verbreiteten Missbrauch einen Riegel vorschieben." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Andrada Fiscutean ist Technische Journalistin. Sie schreibt für unsere US-Kollegen von CSOonline.com über Hacker, Malware, Frauen in IT und osteuropäische Techologieunternehmen.