Zero-Days: Sicherheitsforscher sehen
rasanten Anstieg bei besonders gefährlichen Lücken
2021 wurde der bisherige Rekord mehr als
verdoppelt. Googles Project Zero sieht das Problem trotzdem woanders:
"Wir machen es Angreifern noch immer sehr einfach"
Die Zero-Click-Angriffe der NSO Group gegen
iMessage waren im Vorjahr die einzigen, die Googles Project Zero Respekt
abverlangen. Der Rest der entdeckten Zero-Day-Lücken sei geradezu
erschreckend banal.
Foto: JACK GUEZ / AFP
Unerfreulich sind Sicherheitslücken immer.
Schließlich will niemand, dass Angreifer einfach so entsprechende
Sperren austricksen und dabei im schlimmsten Fall an sensible Daten
gelangen können. Entsprechend wichtig ist es, dass nicht nur die
betroffenen Hersteller rasch reagieren, sondern auch die Nutzer alle
Updates umgehend einspielen.
Was ich nicht weiß ...
Ein Ratschlag, der bei Zero-Day-Lücken (oder
auch: 0-day) allerdings ins Leere läuft, handelt es sich dabei doch um
eine besonders gefährliche Unterkategorie von sicherheitsrelevanten
Problemen – jene Lücken, die ohne Wissen des Herstellers und somit auch
ohne Existenz eines fehlerbereinigenden Updates bereits aktiv ausgenutzt
werden.
In einem neuen Blogeintrag widmet sich die
Sicherheitsforscherin Maddie Stone von Googles Project Zero nun diesem
Thema im Detail. Demnach wurden im Jahr 2021 mehr 0-days bekannt als je
zuvor – und zwar mit Abstand. Mit 58 Stück wurde damit der bisherige
Rekord aus dem Jahr 2015 (28) mehr als verdoppelt.
Analyse
Stone warnt in dem Zusammenhang allerdings vor
voreiligen Schlüssen. Das bedeute nämlich keineswegs, dass sich die
Sicherheitslage generell verschlechtert habe. Das Wachstum sei nicht
zuletzt darauf zurückzuführen, dass in früheren Jahren viele Zero-Days
schlicht nicht als solche ausgewiesen wurden.
Image
Die Zahlen sprechen eine deutliche Sprache –
aber auch eine, die gut erklärt werden muss, um sie zu verstehen.
Grafik: Google
Ein Teil des Anstiegs ergebe sich etwa daraus,
dass seit Ende 2020 / Anfang 2021 sowohl Apple als auch Google bei ihren
mobilen Betriebssystemen – also iOS und Android – 0-days extra
kennzeichnen. Zuvor wären solche Lücken oft ohne Hinweis auf die aktive
Ausnutzung im Vorfeld geschlossen worden. Das wären allein schon zwölf
Lücken, die sonst in der Statistik gar nicht aufgetaucht wären.
Aufteilung
Ein beliebtes Angriffsziel bleiben dabei
Browser. Das ist auch wenig überraschend, sind diese doch oft ein guter
Weg, um mithilfe manipulierter Webseiten in Smartphones oder PCs
einzubrechen. Entsprechend entfallen 14 der entdeckten Zero-Days auf
Chrome/Chromium und sieben auf Safari/Webkit. Zehn Zero-Day-Lücken
wurden im Vorjahr hingegen für Windows gemeldet. Eine Premiere: 2021
wurde erstmals ein Zero-Day bei Mac OS öffentlich bekannt.
Alles viel zu einfach
Eine weitergehende Analyse der einzelnen
Lücken entlockt der Sicherheitsforscherin trotzdem ein ziemlich
ernüchterndes Fazit: "Wir machen es Angreifern noch immer sehr einfach."
Denn wer glaubt, dass solche 0-days, die oft um Preise im sechsstelligen
Dollar-Bereich gehandelt werden, besonders gefinkelt sind, der irrt.
Bei fast zwei Dritteln aller im Jahr 2021
entdeckten Zero-Days handelt es sich um simple Speicherfehler, wie sie
in der Programmierung mit Hochsprachen wie C / C++ oft vorkommen. Zudem
würden sich unter den gefundenen 0-days viele Variationen früherer
Attacken finden. Das könnte zwar auch daran liegen, dass man andere
solche Attacken bisher schlicht nicht findet, trotzdem gebe es hier noch
viel Verbesserungsbedarf für die Industrie.
https://www.derstandard.de/story/2000135087158/zero-days-sicherheitsforscher-sehen-rasanten-anstieg-bei-besonders-gefaehrlichen-luecken
