Im ersten Halbjahr 2022 bereits 18 Zero-Day-Lücken ausgenutzt

Googles Project Zero hat einen Überblick dazu veröffentlicht, welche Zero-Day-Schwachstellen in den ersten sechs Monaten des laufenden Jahres in freier Wildbahn von Cyberkriminellen angegriffen und missbraucht wurden. Insgesamt kamen dabei 18 Sicherheitslecks zusammen, für die die Hersteller zum ersten Zeitpunkt des Missbrauchs kein Update zum Abdichten bereitstellen konnten.

Wie die Google-Mitarbeiterin Maddie Stone schreibt, hat das Team bei der Analyse der Zero-Days entdeckt, dass mindestens neun davon Ableger bereits zuvor gepatchter Schwachstellen waren. Somit hätte mindestens die Hälfte der Zero-Days, die im ersten Halbjahr 2022 missbraucht wurden, mit einem umfassenderen Patch und Regressionstest verhindert werden können. Bei vier der Lücken handelte es sich um Abwandlungen von solchen, die bereits im Jahr 2021 geschlossen wurden, und bei denen die Angreifer mit einer Variante des originalen Bugs wiederkamen.

Neue alte Lücken

In einer Tabelle stellt Stone in ihrem Blogbeitrag die aktuell missbrauchten Zero-Day-Lücken und ihre "Vorgänger" gegenüber. Das Spektrum betroffener Software ist weit und reicht von Windows über iOS und Android hin zu Google Chrome, Webkit sowie Gruppenwerkzeugen wie Atlassian Confluence.

Laut Stone gehen die meisten Menschen davon aus, dass Zero-Day-Lücken technologisch so fortschrittlich sind, dass sie sich gar nicht vermeiden ließen. Die Analyse jedoch zeichnet ein anderes Bild. Neun der Lücken sind nahe Verwandte von Schwachstellen, die die Forscher bereits zuvor gesehen hätten. Ähnlich sah es bereits in dem Lagebericht zum Jahr 2020 aus, erläutert Stone.

Ursachenforschung

Für die Fehler in Windows win32k und den Chromium Property-Access-Interceptor wurden zwar die Code-Stellen, die der Proof-of-Concept-Code nutzte, korrigiert, jedoch nicht der ursächliche Fehler. Angreifer konnten daher dieselbe Schwachstelle auf anderem Wege erneut ausnutzen. Im Falle der Lücken in WebKit und Windows PetitPotam hingegen haben die Hersteller die Lücken gestopft, jedoch im Laufe der weiteren Entwicklung erneut aufgerissen (Regression).

Um dem vorzubeugen, könnten einige Maßnahmen helfen, Sicherheitslücken umfassend und nachhaltig zu schließen. Entwickler müssten dazu

• die zugrundeliegende Ursache verstehen,
• Varianten analysieren, um etwa dieselbe Fehlerart auch an anderen Stellen aufzuspüren,
• Patches analysieren und sicherstellen, dass sie die zugrundeliegende Ursache vollständig beheben
• die Exploit-Techniken analysieren und verstehen, um deren künftige Anwendung zu verhindern oder erschweren

Das transparente Teilen dieser Analyseergebnisse helfe der gesamten Industrie, sagt Google. Project Zero hat eine Webseite erstellt, auf der es die Erkenntnisse aus den Analysen teilt. Stone schlägt vor, dass andere Anbieter es Google gleichtun. Das erlaube Entwicklern und Sicherheitsexperten, besser zu verstehen, was die Angreifer bereits über die Bugs wissen, was schlussendlich in besseren Lösungen und Sicherheit münde.

(dmk)