Google: 2021 war Rekordjahr für entdeckte Zero Days

Laut Google ändert sich die Ursache der Sicherheitslücken selbst aber kaum. Größtes Problem bleiben Speicherfehler.

Artikel veröffentlicht am ,
Google Project Zero hat die Zero Days des Jahres 2021 analysiert.
Google Project Zero hat die Zero Days des Jahres 2021 analysiert. (Bild: Annegret Hilse/File Photo/Reuters)

Die Sicherheitsforscher von Googles Project Zero haben eine Auswertung der im Jahr 2021 aktiv ausgenutzten Zero-Day-Sicherheitslücken vorgenommen, die dem Team bekanntgeworden sind. Ziel dieser Analyse ist es wie jedes Jahr, bestimmte Trends der IT-Industrie sowie auch der Angreifer ausfindig zu machen und daraus Schlüsse ziehen zu können, die letztlich die IT-Sicherheit insgesamt erhöhen. Für das Jahr 2021 stellt das Team aber zunächst einen massiven Anstieg der bekannten Zero Days fest, wie es in dem Blogpost heißt.

Stellenmarkt
  1. Absolvent der Mathematik / Wirtschaftsmathematik in der Lebensversicherung (m/w/d)
    Allianz Deutschland AG, Stuttgart
  2. Informatiker / Wirtschaftsinformatiker als Referent Datenbankmanagement (m/w/d)
    TenneT TSO GmbH, Bayreuth
Detailsuche

Bei den im vergangenen Jahr bekanntgewordenen 58 Zero-Day-Sicherheitslücken handelt es sich um einen deutlichen Rekord seit Beginn der Statistik im Jahr 2014. Üblicherweise konnte das Team bisher nicht viel mehr als etwa 20 dieser Lücken pro Jahr verfolgen.

Das erklärt sich das Team nicht nur durch einen Anstieg an Angriffen, sondern auch dadurch, dass das Ausnutzen von Zero-Day-Sicherheitslücken inzwischen deutlich besser von Sicherheitsforschern entdeckt wird und dass auch betroffene Hersteller inzwischen vermehrt öffentlich bekanntgegeben, falls Lücken aktiv ausgenutzt werden.

Bespielhaft nennt Google hier Apple und das eigene Android-Team, die erst Ende 2020 beziehungsweise Anfang 2021 damit begonnen haben, die Ausnutzung von Sicherheitslücken öffentlich zu dokumentieren. Das Android-Team sei außerdem wichtig, da etwa Qualcomm und ARM die Ausnutzung von Zero Days noch nicht öffentlich dokumentieren, Google dies aber in den Android-Release-Notes vermerkt.

Speicherfehler immer noch größtes Problem

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
Weitere IT-Trainings

Zu den genutzten Techniken der Angreifer heißt es: "Etwas überraschend für uns war jedoch, dass unter all diesen Datenpunkten nichts Neues unter all diesen Daten war. Zero-Day-Exploits gelten als eine der fortschrittlichsten Angriffsmethoden, die ein Akteur verwenden kann, daher wäre es leicht zu schlussfolgern, dass Angreifer spezielle Tricks und Angriffsvektoren verwenden müssen." Dem ist aber offenbar nicht so. Mit Ausnahme von zwei der 58 Lücken seien diese eher "Standard" oder gar "langweilig".

Etwa zwei Drittel der betrachteten Lücken seien dabei immer noch Speicherfehler, die seit Jahrzehnten ein großes Problem darstellen. Dabei handelt es sich um Fehler der Kategorien Use-After-Free, Out-of-Bounds-Zugriffe, sowie Buffer- und Integer-Overflows.

Wirklich überrascht gewesen sei das Team nur von den Forcedentry genannten Lücken, die für den Pegasus-Trojaner von Hersteller NSO genutzt wurden. Dabei wird eine VM über Logikgatter durch einen Fehler im Software-Teil für einem Kompressionsalgorithmus aus dem altbekannten Fax umgesetzt. Dazu schreibt das Team: "Der Exploit war ein beeindruckendes Kunstwerk."

Von diesen seltenen Ausnahmen abgesehen zieht das Team von Google aber den Schluss, dass es die IT-Industrie Angreifern insgesamt immer noch zu einfach macht, Sicherheitslücken auszunutzen. Für Angriffe könnten weiter alte und bekannte Techniken genutzt werden. Ziel sollte es aber sein, dass für jeden Angriff von Grund auf neue Methoden zum Ausnutzen entwickelt werden müssten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Activision Blizzard: Ausgewogene-Charakter-Tool sorgt für Diskussionen
    Activision Blizzard
    Ausgewogene-Charakter-Tool sorgt für Diskussionen

    Sexuelle Orientierung, ethnische Abstammung? Entwickler von Call of Duty und Overwatch können ein Werkzeug für mehr Vielfalt verwenden.

  2. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

  3. Emirates Telecommunications Group: Abu Dhabi wird größter Anteilseigner von Vodafone
    Emirates Telecommunications Group
    Abu Dhabi wird größter Anteilseigner von Vodafone

    Für 4,4 Milliarden US-Dollar hat Emirates Telecommunications Group 10 Prozent an Vodafone erworben. Der staatliche Konzern ist bekannt für seine Internet-Inhaltefilter.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /