Google: 2021 war Rekordjahr für entdeckte Zero Days

Die Sicherheitsforscher von Googles Project Zero haben eine Auswertung der im Jahr 2021 aktiv ausgenutzten Zero-Day-Sicherheitslücken vorgenommen, die dem Team bekanntgeworden sind. Ziel dieser Analyse ist es wie jedes Jahr, bestimmte Trends der IT-Industrie sowie auch der Angreifer ausfindig zu machen und daraus Schlüsse ziehen zu können, die letztlich die IT-Sicherheit insgesamt erhöhen. Für das Jahr 2021 stellt das Team aber zunächst einen massiven Anstieg der bekannten Zero Days fest, wie es in dem Blogpost heißt.

Bei den im vergangenen Jahr bekanntgewordenen 58 Zero-Day-Sicherheitslücken handelt es sich um einen deutlichen Rekord seit Beginn der Statistik im Jahr 2014. Üblicherweise konnte das Team bisher nicht viel mehr als etwa 20 dieser Lücken pro Jahr verfolgen.

Das erklärt sich das Team nicht nur durch einen Anstieg an Angriffen, sondern auch dadurch, dass das Ausnutzen von Zero-Day-Sicherheitslücken inzwischen deutlich besser von Sicherheitsforschern entdeckt wird und dass auch betroffene Hersteller inzwischen vermehrt öffentlich bekanntgegeben, falls Lücken aktiv ausgenutzt werden.

Bespielhaft nennt Google hier Apple und das eigene Android-Team, die erst Ende 2020 beziehungsweise Anfang 2021 damit begonnen haben, die Ausnutzung von Sicherheitslücken öffentlich zu dokumentieren. Das Android-Team sei außerdem wichtig, da etwa Qualcomm und ARM die Ausnutzung von Zero Days noch nicht öffentlich dokumentieren, Google dies aber in den Android-Release-Notes vermerkt.

Speicherfehler immer noch größtes Problem

Zu den genutzten Techniken der Angreifer heißt es: "Etwas überraschend für uns war jedoch, dass unter all diesen Datenpunkten nichts Neues unter all diesen Daten war. Zero-Day-Exploits gelten als eine der fortschrittlichsten Angriffsmethoden, die ein Akteur verwenden kann, daher wäre es leicht zu schlussfolgern, dass Angreifer spezielle Tricks und Angriffsvektoren verwenden müssen." Dem ist aber offenbar nicht so. Mit Ausnahme von zwei der 58 Lücken seien diese eher "Standard" oder gar "langweilig".

Etwa zwei Drittel der betrachteten Lücken seien dabei immer noch Speicherfehler, die seit Jahrzehnten ein großes Problem darstellen. Dabei handelt es sich um Fehler der Kategorien Use-After-Free, Out-of-Bounds-Zugriffe, sowie Buffer- und Integer-Overflows.

Wirklich überrascht gewesen sei das Team nur von den Forcedentry genannten Lücken, die für den Pegasus-Trojaner von Hersteller NSO genutzt wurden. Dabei wird eine VM über Logikgatter durch einen Fehler im Software-Teil für einem Kompressionsalgorithmus aus dem altbekannten Fax umgesetzt. Dazu schreibt das Team: "Der Exploit war ein beeindruckendes Kunstwerk."

Von diesen seltenen Ausnahmen abgesehen zieht das Team von Google aber den Schluss, dass es die IT-Industrie Angreifern insgesamt immer noch zu einfach macht, Sicherheitslücken auszunutzen. Für Angriffe könnten weiter alte und bekannte Techniken genutzt werden. Ziel sollte es aber sein, dass für jeden Angriff von Grund auf neue Methoden zum Ausnutzen entwickelt werden müssten.