Experten fanden im Jahr 2021 eine Rekordzahl von Zero-Day-Hacks
Google hat den 2021 Review of Project Zero veröffentlicht, der eine Rekordzahl von Zero-Day-Exploits (als „eine der fortschrittlichsten Angriffsmethoden“ bezeichnet) enthüllt, die von einigen der weltweit größten Technologieunternehmen gezeigt werden.
Project Zero ist eine 2014 von Google gestartete Initiative, die darauf abzielt, Sicherheitsmängel, die als Zero-Day-Exploits bekannt sind, detailliert aufzuzeigen. Diese Schwachstellen sind gefährlich, da sie im Wesentlichen unentdeckt bleiben, es sei denn, es wurde ein Minderungssystem implementiert, wodurch Systeme, Datenbanken und dergleichen Hackern vollständig ausgesetzt sind.
Der Jahresabschlussbericht für 2021 bestätigte, dass 58 Zero-Day-Exploits entdeckt wurden. Das ist die höchste entdeckte Menge seit der Gründung von Project Zero – 2015 war der bisherige Rekordhalter mit insgesamt 28 digitalen Exploits.
Im Vergleich dazu hat das Sicherheitsteam von Google auf dem Höhepunkt der Pandemie, als Hacker ihre Bemühungen um böswillige Cyberkriminalität intensivierten , im Jahr 2020 25 Sicherheitslücken offengelegt.
Google betonte, dass die Rekordzahl von 58 Zero-Day-Exploits, die öffentlich detailliert wurden, nicht unbedingt ein Hinweis auf „erhöhte Nutzung von Zero-Day-Exploits“ seien. Im Gegenteil, das Unternehmen führt es auf die „erhöhte Erkennung und Offenlegung dieser Zero-Days“ zurück.
„Es ist sehr wahrscheinlich, dass es im Jahr 2021 weitere Zero-Days gab, die in freier Wildbahn ausgenutzt und entdeckt wurden, aber die Anbieter haben dies in ihren Versionshinweisen nicht erwähnt. Wir hoffen, dass im Jahr 2022 mehr Anbieter bemerken, wenn sie Schwachstellen patchen, die in freier Wildbahn ausgenutzt wurden. Bis wir sicher sind, dass alle Anbieter den „In-the-Wild“-Status transparent offenlegen, stellt sich die große Frage, wie viele „In-the-Wild“-Zero-Days entdeckt, aber von den Anbietern nicht öffentlich gekennzeichnet werden.“
Der erste Zero-Day-Exploit des Berichts, der analysiert wurde, betraf Googles eigenen Chromium, der den Open-Source-Code für seinen Chrome-Browser bereitstellt.
Chromium verzeichnete ein Rekordhoch von 14 Zero-Day-Bugs. Unter den Exploits befanden sich 10 Fehler bei der Remote-Code-Ausführung, 2 Sandbox-Escapes und 1 Infoleak. Der letzte Zero-Day-Bug führte dazu, dass Hacker versuchten, eine Webseite in Android-basierten Apps anstelle von Chrome zu öffnen.
An anderer Stelle wurden sieben Android-Zero-Days identifiziert – ein ziemlich großer Sprung gegenüber dem einzigen Exploit aus dem Jahr 2019, der übrigens die einzige weitere Entdeckung des Project Zero-Teams in Bezug auf das mobile Betriebssystem von Google war.
Apple, iOS, MacOS und Windows
Google erwähnte auch WebKit, die Webbrowser-Engine von Apple, die Safari antreibt. Laut Google hat Apple vor 2021 nur einen öffentlichen Zero-Day-Exploit enthüllt, der darauf ausgelegt war, WebKit/Safari zu infiltrieren. Schon damals kam die Offenlegung über die Studie eines Drittforschers zustande.
Im Jahr 2021 gab es jedoch sieben Zero-Days im Zusammenhang mit Apples Webbrowser, von denen vier die Javascript-Engine-Komponente von Safari betrafen.
Um sich von der zuvor geheimnisvollen Natur des Technologiegiganten zu lösen, wenn es darum ging, 0-Day-Exploits im Detail zu beschreiben, „war 2021 das erste volle Jahr, in dem Apple seine Versionshinweise mit dem Status „In freier Wildbahn“ von Schwachstellen kommentierte“.
Zu diesem Zweck wurden fünf iOS-Zero-Days von Apple bestätigt, während der erste öffentlich entdeckte MacOS-Zero-Day ebenfalls aufgedeckt wurde.
Apple legt großen Wert auf seine Sicherheitsmaßnahmen für iOS- und Mac-basierte Systeme. Immerhin gab eseinem Studenten 100.000 Dollar dafür, dass er letzteres hackte .
Was Microsoft betrifft, so hat Google 10 Zero-Days für Windows detailliert beschrieben, die auf sieben separate Elemente abzielten, darunter Enhanced Crypto Provider (natürlich keine Überraschung), NTOS-Kernel und Win32k.
„Windows ist die Plattform, auf der wir im Vergleich zu den Vorjahren die meisten Änderungen bei den angestrebten Komponenten gesehen haben. Diese Verschiebung ist jedoch im Allgemeinen seit einigen Jahren im Gange und wird mit dem Ende der Lebensdauer von Windows 7 im Jahr 2020 prognostiziert, weshalb sie immer noch nicht besonders neuartig ist“, sagte Google.
Auch Windows 11 wurde nach seinem Start einem Zero-Day-Hack unterzogen . Microsoft zahlt jedoch in einigen Fällen nicht so gut wie Apple, wenn es um die Entdeckung von Fehlern geht: Die Auszahlungen wurden anscheinend von 10.000 US-Dollar auf 1.000 US-Dollar reduziert.
Darüber hinaus wurden im Jahr 2021 fünf mit Microsoft Exchange Server verbundene Zero-Days gefunden. „Dies ist das erste Mal, dass Zero-Days von Exchange Server in the wild entdeckt und offengelegt wurden, seit wir mit der Verfolgung von Zero-Days in the wild begonnen haben“, fügte der Bericht hinzu.
Hacker halten sich an altbewährte Methoden
Im Abschnitt „ Neues Jahr, alte Techniken “ des Berichts betonte Google, dass es trotz der Rekordzahl von „Datenpunkten“ im Jahr 2021 „um zu verstehen, wie Angreifer tatsächlich Zero-Day-Exploits verwenden“, tatsächlich überrascht war, dass es all diese Daten erkannte – „ es gab nichts Neues.“
„Zero-Day-Exploits gelten als eine der fortschrittlichsten Angriffsmethoden, die ein Akteur verwenden kann, daher wäre es leicht zu schlussfolgern, dass Angreifer spezielle Tricks und Angriffsflächen verwenden müssen. Stattdessen folgten die Zero-Days, die wir im Jahr 2021 erlebten, im Allgemeinen denselben Fehlermustern, Angriffsflächen und Exploit-„Formen“, die zuvor in der öffentlichen Forschung beobachtet wurden.
Etwa 67 % der 58 Zero-Day-Exploits waren Schwachstellen durch Speicherbeschädigung. Laut Google sollte dies keine allzu große Überraschung sein, wenn man bedenkt, dass diese spezielle Kategorie „in den letzten Jahrzehnten“ die bevorzugte Methode war, um einen Weg in Software zu finden, und dies größtenteils der Grund dafür ist, dass Angreifer dies weiterhin tun erfolgreich Zugang zu seinen Zielen erhalten.
Google krönte seinen Bericht mit einer Aussage zu den Auswirkungen von Zero-Day-Exploits und den Folgen eines erfolgreichen Angriffs.
„Während die Mehrheit der Menschen auf dem Planeten sich keine Sorgen um ihr persönliches Risiko machen muss, Ziel von Zero-Days zu werden, betrifft Zero-Day-Ausbeutung uns alle. Diese Zero-Days haben in der Regel übergroße Auswirkungen auf die Gesellschaft, daher müssen wir weiterhin alles tun, um es Angreifern zu erschweren, bei diesen Angriffen erfolgreich zu sein. 2021 hat uns gezeigt, dass wir auf dem richtigen Weg sind und Fortschritte machen, aber es gibt noch viel mehr zu tun, um Zero Day schwer zu machen.“
Da die Welt digitaler und technologiegetriebener wird als je zuvor, verdienen Cyberkriminelle Milliarden von Dollar, indem sie Einzelpersonen ausbeuten.
Mit einem allgemeinen Anstieg der Cyberkriminalität wurden im vergangenen Jahr fast 7 Milliarden US-Dollar von Menschen gestohlen , was größtenteils bestimmten Arten von Kriminalität wie der Verletzung personenbezogener Daten ( Bereinigung Ihrer Passwörter ) und Ransomware zugeschrieben wird.