Google: 2021 war Rekordjahr für entdeckte Zero Days

Laut Google ändert sich die Ursache der Sicherheitslücken selbst aber kaum. Größtes Problem bleiben Speicherfehler.

Artikel veröffentlicht am ,
Google Project Zero hat die Zero Days des Jahres 2021 analysiert.
Google Project Zero hat die Zero Days des Jahres 2021 analysiert. (Bild: Annegret Hilse/File Photo/Reuters)

Die Sicherheitsforscher von Googles Project Zero haben eine Auswertung der im Jahr 2021 aktiv ausgenutzten Zero-Day-Sicherheitslücken vorgenommen, die dem Team bekanntgeworden sind. Ziel dieser Analyse ist es wie jedes Jahr, bestimmte Trends der IT-Industrie sowie auch der Angreifer ausfindig zu machen und daraus Schlüsse ziehen zu können, die letztlich die IT-Sicherheit insgesamt erhöhen. Für das Jahr 2021 stellt das Team aber zunächst einen massiven Anstieg der bekannten Zero Days fest, wie es in dem Blogpost heißt.

Stellenmarkt
  1. Consultant SAP HCM (m/w/d)
    über duerenhoff GmbH, Großraum Bielefeld (Home-Office)
  2. Senior Consultant Servicenow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte (remote möglich)
Detailsuche

Bei den im vergangenen Jahr bekanntgewordenen 58 Zero-Day-Sicherheitslücken handelt es sich um einen deutlichen Rekord seit Beginn der Statistik im Jahr 2014. Üblicherweise konnte das Team bisher nicht viel mehr als etwa 20 dieser Lücken pro Jahr verfolgen.

Das erklärt sich das Team nicht nur durch einen Anstieg an Angriffen, sondern auch dadurch, dass das Ausnutzen von Zero-Day-Sicherheitslücken inzwischen deutlich besser von Sicherheitsforschern entdeckt wird und dass auch betroffene Hersteller inzwischen vermehrt öffentlich bekanntgegeben, falls Lücken aktiv ausgenutzt werden.

Bespielhaft nennt Google hier Apple und das eigene Android-Team, die erst Ende 2020 beziehungsweise Anfang 2021 damit begonnen haben, die Ausnutzung von Sicherheitslücken öffentlich zu dokumentieren. Das Android-Team sei außerdem wichtig, da etwa Qualcomm und ARM die Ausnutzung von Zero Days noch nicht öffentlich dokumentieren, Google dies aber in den Android-Release-Notes vermerkt.

Speicherfehler immer noch größtes Problem

Golem Karrierewelt
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    02./03.06.2022, Virtuell
Weitere IT-Trainings

Zu den genutzten Techniken der Angreifer heißt es: "Etwas überraschend für uns war jedoch, dass unter all diesen Datenpunkten nichts Neues unter all diesen Daten war. Zero-Day-Exploits gelten als eine der fortschrittlichsten Angriffsmethoden, die ein Akteur verwenden kann, daher wäre es leicht zu schlussfolgern, dass Angreifer spezielle Tricks und Angriffsvektoren verwenden müssen." Dem ist aber offenbar nicht so. Mit Ausnahme von zwei der 58 Lücken seien diese eher "Standard" oder gar "langweilig".

Etwa zwei Drittel der betrachteten Lücken seien dabei immer noch Speicherfehler, die seit Jahrzehnten ein großes Problem darstellen. Dabei handelt es sich um Fehler der Kategorien Use-After-Free, Out-of-Bounds-Zugriffe, sowie Buffer- und Integer-Overflows.

Wirklich überrascht gewesen sei das Team nur von den Forcedentry genannten Lücken, die für den Pegasus-Trojaner von Hersteller NSO genutzt wurden. Dabei wird eine VM über Logikgatter durch einen Fehler im Software-Teil für einem Kompressionsalgorithmus aus dem altbekannten Fax umgesetzt. Dazu schreibt das Team: "Der Exploit war ein beeindruckendes Kunstwerk."

Von diesen seltenen Ausnahmen abgesehen zieht das Team von Google aber den Schluss, dass es die IT-Industrie Angreifern insgesamt immer noch zu einfach macht, Sicherheitslücken auszunutzen. Für Angriffe könnten weiter alte und bekannte Techniken genutzt werden. Ziel sollte es aber sein, dass für jeden Angriff von Grund auf neue Methoden zum Ausnutzen entwickelt werden müssten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Cerebras WSE-2: München verbaut riesigen KI-Chip
    Cerebras WSE-2
    München verbaut riesigen KI-Chip

    Als erster Standort in Europa hat das Leibniz-Rechenzentrum (LRZ) ein CS-2-System mit Cerebras' WSE-2 gekauft, welches effizient und schnell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /