Das Sicherheitsteam von Google Project Zero hat seinen jährlichen 0-Day-Exploit-Bericht für das Jahr 2021 veröffentlicht. Sie haben diese Informationen auch mit ihren historischen Daten ab 2014 verglichen. Seine Analyse hat zu vielen interessanten Ideen und Fragen in diesem Bereich geführt.
Zunächst einmal hat Google Project Zero im Jahr 2021 58 Zero-Day-Exploits gefunden, die meisten, seit das Team 2014 damit begann, die Zahl zu verfolgen. Es ist auch wichtig zu beachten, dass im Jahr 2020 nur 25 Zero-Day-Exploits entdeckt wurden, was nicht unbedingt bedeutet dass Angreifer aktiver und erfolgreicher geworden sind. Google sagt, dass Angriffsmuster und -oberflächen im Jahr 2021 weitgehend unverändert geblieben sind, mit Ausnahme einiger neuer 0-Tage, und glaubt daher, dass das Rekordhoch tatsächlich auf die verstärkte Erkennung und Offenlegung zurückzuführen ist.
Google lobte Microsoft , Apple, Apache und die nativen Chromium- und Android-Teams für die öffentliche Offenlegung von Schwachstellen in Sicherheitsbulletins in ihren eigenen Produkten im Laufe des Jahres 2021. Er stellte auch fest, dass Exploits auch in Qualcomm- und ARM-Produkten gefunden und offengelegt wurden, dies aber leider der Fall war nicht näher beschrieben. in den eigenen Empfehlungen der Lieferanten. Google Project Zero geht davon aus, dass die Zahl der Zero-Day-Exploits wahrscheinlich höher ist, aber die genaue Zahl ist unbekannt, da viele Anbieter keine Informationen über entdeckte Schwachstellen offenlegen.
Wie oben zu sehen ist, haben Anbieter die meisten Zero Days in ihren Produkten entdeckt und offengelegt. Project Zero betont, dass Anbieter über die meisten Telemetriedaten zu ihren eigenen Produkten verfügen und daher wahrscheinlich für eine Spitze in der Grafik sorgen, wenn sie auch Informationen über entdeckte Exploits öffentlich offenlegen.
Google Project Zero bemerkte jedoch einen seltsamen Trend. Nahezu alle Zero-Day-Exploits verwendeten bekannte Fehlermuster, Angriffsflächen und Exploit-Mechanismen. Das bedeutet, dass 0-Day für Angreifer noch nicht hart genug ist, denn wenn es wahr wäre, würden Angreifer eher zu neuen Oberflächen und Angriffsmustern tendieren.
Die meisten Zero-Day-Exploits wurden 2021 in Chromium gefunden, davon 14. 13 davon waren Speicherbeschädigungsfehler. Sieben wurden in Apple WebKit entdeckt und enthüllt, es ist interessant zu wissen, dass bis 2021 nur ein Zero Day in dieser Software enthüllt wurde. Internet Explorer hatte vier Tage Null, was historischen Trends entspricht. Google Project Zero sagt:
Seit wir begonnen haben, Zero Days in the Wild zu verfolgen, hat der Internet Explorer jedes Jahr eine ziemlich konstante Anzahl von Zero Days. 2021 ist praktisch gleich 2016 in Bezug auf die Anzahl der Internet Explorer-Zero-Days, die wir jemals verfolgt haben, auch wenn der Marktanteil von Internet Explorer bei Webbrowser-Benutzern weiter zurückgeht.
Warum sehen wir also trotz der Veränderung des Marktanteils so wenig Veränderung in der Anzahl der echten Nulltage? Internet Explorer ist immer noch eine bereite Angriffsfläche für die anfängliche Infiltration von Windows-Computern, selbst wenn der Benutzer Internet Explorer nicht als Internetbrowser verwendet. Während die Anzahl der 0-Tage in etwa gleich geblieben ist wie in den Vorjahren, haben sich die Zielkomponenten und Exploit-Bereitstellungsmethoden geändert. 3 von 4 Zero Days im Jahr 2021 waren auf die MSHTML-Browser-Engine ausgerichtet und wurden über andere Wege als das Internet bereitgestellt. Stattdessen wurden sie über Office-Dokumente oder andere Dateiformate an ihre Ziele geliefert.
10 0-Days wurden für Windows aufgedeckt, aber nur 20 % waren im Jahr 2021 auf Win32k ausgerichtet, verglichen mit 75 % im Jahr 2019. Google erklärt, dass der Grund dafür darin liegt, dass Exploits im Jahr 2019 auf ältere Windows-Versionen abzielten und Microsoft diesen Bereich gepatcht hat In Windows 10 etwas höher, ist es schwieriger, es als Angriffsfläche zu verwenden, da die Unterstützung für ältere Windows-Versionen endet und die Benutzerbasis schrumpft.
Schließlich zielen sieben Exploits auf Android und fünf auf Microsoft ab. Exchange Server, vier für iOS und einer für macOS.
Google hat aufgrund seines Berichts auch eine Reihe interessanter Fragen aufgeworfen. Unter anderem: das Fehlen bekannter 0-Day-Exploits für einige Produkte aufgrund erfolgloser Angriffe auf sie oder weil Hersteller sie nicht öffentlich offenlegen? Finden wir die gleichen Fehlermuster, weil wir uns mit ihnen auskennen? Nur fünf der 58 Zero Days haben öffentliche Exploit-Samples, wie können wir auf mehr zugreifen?
All diese Fragen und mehr werden hier in einem ausführlichen Google-Bericht behandelt . Für die Zukunft hat das Team von Project Zero vorgeschlagen, die Erkennung und Offenlegung von Exploits zu einer branchenweiten Standardrichtlinie zu machen, Exploit-Samples öffentlich zu teilen und unter anderem die Bemühungen zur Reduzierung von Speicherbeschädigungsfehlern zu verstärken.
Schreibe einen Kommentar