• IT-Karriere:
  • Services:

Sicherheitslücke: Google jagt Zero-Day-Lücken auch mit Marketing-Material

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

Artikel veröffentlicht am ,
Google sucht auch ungewöhnliche Wege, um Zero-Day-Lücken zu finden.
Google sucht auch ungewöhnliche Wege, um Zero-Day-Lücken zu finden. (Bild: STR/AFP via Getty Images)

Statt nur auf eigene Forschung und die Suche nach potenziellen Sicherheitslücken zu setzen, veröffentlicht Googles Initiative Project Zero seit etwa einem halben Jahr eine Liste von aktiv ausgenutzten 0-Day-Sicherheitslücken. Die Forscherin Maddie Stone erklärt im Blog der Initiative, wie eine dieser Lücken gefunden wurde und bittet die größere Community, dabei mitzuhelfen, die dazu bisher genutzten Ansätze zu verfeinern. In dem beschriebenen Fall habe etwa Marketing-Material viel geholfen.

Stellenmarkt
  1. NetCom BW GmbH, Ellwangen
  2. ING-DiBa AG, Nürnberg

Bei der von Stone sehr ausführlich analysierten Sicherheitslücke handelt es sich um jene, die das Team als Bad Binder (CVE-2019-2215) bezeichnete und Anfang Oktober öffentlich bekanntgab. Den Angaben zufolge hatte das Team Berichte erhalten, dass diese Sicherheitslücke aktiv von der NSO Group ausgenutzt werde. Diese Hinweise stammten unter anderem auch von der bei Google angesiedelte Threat Analysis Group (TAG).

Reverse-Engineering von Marketing-Material

Oft werden Angriffe über 0-Day-Lücken sowie Patches, die diese beheben, mit Hilfe von infizierten Geräten und der genutzte Malware untersucht. Dabei wird etwa das Verhalten der Malware per Reverse Engineering untersucht. Im Fall von Bad Binder stand diese dem Team aber nicht zur Verfügung. Dem Blogeintrag zufolge gab es aber Gerüchte über die ausgenutzte Lücke sowie Marketing-Material zu den Fähigkeiten der Lücke.

Laut der Darstellung in dem Blogeintrag konnte Stone zusammen mit ihrem Kollegen Jann Horn eben auf Grundlage dieses Materials die Funktionsweise des Exploits untersuchen und ihn letztlich auf einen bekannten Fehler im Linux-Kernel zurückführen. Dem Team gelang es auch, einen eigenen Exploit für die Lücke zu erstellen. Diese Art "Jagd nach Fehlern auf Basis von Gerüchten", wie Stone das nennt, sei derzeit einer der wichtigsten Ansätze für das Team, um 0-Day-Lücken zu finden.

Hinzu kommen die Untersuchung möglicher Varianten von Bugs und eben auch die Veröffentlichung detaillierter Analysen dieser Art Fehler. Das Team erhofft sich davon, etwa jene besser informieren zu können, die auf Angriffe reagieren müssen. Stone sieht den Blogeintrag jedoch erst als Anfang der "taktischen Arbeiten" rund um die 0-Day-Lücken."Wenn wir versuchen, dies alleine zu tun, werden wir aber keine großen Fortschritte erzielen" , schreibt Stone. Die Forscherin bittet deshalb um Hinweise und Mitwirkung der Community.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Asus XG248Q LED-Monitor 389,00€ (Bestpreis!), Emtec SSD 120 GB 15,79€, Xiaomi...
  2. (u.a. Samsung Galaxy Tab A für 195,00€, Huawei MediaPad M5 Lite für 189,00€, Lenovo Tab E10...
  3. 899,00€ (Bestpreis!)
  4. 99,99€

Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Python Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel
  2. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  3. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

    •  /