Bisher unbekannte “Zero-Day”-Softwareschwachstellen sind an sich schon geheimnisvoll und faszinierend. Noch bemerkenswerter sind sie jedoch, wenn Hacker dabei erwischt werden, wie sie die neuartigen Software-Schwachstellen aktiv ausnutzen, bevor irgendjemand von ihnen weiß.
Da die Forscher ihren Fokus auf die Erkennung und Untersuchung solcher Schwachstellen ausgeweitet haben, werden sie immer häufiger dabei erwischt. Zwei Berichte, die vor kurzem vom Bedrohungsforschungsunternehmen Mandiant und Googles bug hunting team Project Zero veröffentlicht wurden, sollen Aufschluss darüber geben, wie stark die Ausnutzung von Zero-Days in den letzten Jahren zugenommen hat.
Die Untersuchungen von Project Zero konzentrierten sich speziell auf die Verbreitung von Zero-Days, die nur Google bekannt sind.
Mandiant untersuchte derweil alle Zero-Day-Exploits, die in den letzten Jahren öffentlich entdeckt wurden, einschließlich solcher, die zuvor keinem Forscher oder Unternehmen bekannt waren. Das Unternehmen stellte fest, dass von 2010 bis 2017 jedes Jahr deutlich mehr Zero-Day-Exploits öffentlich bekannt wurden, bevor die Zahl 2018 aus nicht sofort ersichtlichen Gründen zurückging.
Tatsächlich wurden Hacker im vergangenen Jahr häufiger bei der Ausnutzung von Zero-Day-Schwachstellen erwischt als jemals zuvor. Diese Ergebnisse stammen von zwei verschiedenen Forschungsteams, die in unterschiedlichen Bereichen arbeiten: Mandiant und das Project Zero von Google. Ersteres hat im Jahr 2021 insgesamt 80 ausgenutzte Zero-Day-Schwachstellen festgestellt, im Vergleich zu 30 im Jahr zuvor; letzteres hat im Jahr 2021 58 festgestellt, im Vergleich zu 25 im Jahr zuvor. Obwohl die beiden Teams unterschiedliche Schwerpunkte haben – Mandiant konzentriert sich nicht auf die Analyse von Schwachstellen in Internet-of-Things-Geräten, die in freier Wildbahn ausgenutzt werden, während Project Zero dies tut – sind die absoluten Zahlen nicht direkt vergleichbar.
Die Schlüsselfrage für beide Teams ist, wie sie ihre Ergebnisse in einen Kontext setzen können, wenn niemand sehen kann, was in größerem Maßstab passiert.
Bevor eine Software-Schwachstelle öffentlich bekannt wird, wird sie als “Zero-Day” bezeichnet, denn es gab null Tage, in denen der Softwarehersteller einen Patch hätte entwickeln und veröffentlichen können, und null Tage, in denen die Verteidiger mit der Überwachung der Schwachstelle hätten beginnen können.
Die Hacking-Tools, die Angreifer verwenden, um solche Schwachstellen auszunutzen, werden wiederum als Zero-Day-Exploits bezeichnet. Sobald ein Fehler öffentlich bekannt ist, wird möglicherweise nicht sofort (oder nie) ein Patch (ein Update zur Behebung der Sicherheitslücke oder des Fehlers) veröffentlicht, aber die Angreifer wissen, dass ihre Aktivitäten jederzeit entdeckt oder die Lücke gestopft werden könnte. Daher sind Zero-Days sehr begehrt und ein großes Geschäft sowohl für Kriminelle als auch insbesondere für von Regierungen unterstützte Hacker, die sowohl Massenkampagnen als auch maßgeschneiderte, individuelle Angriffe durchführen wollen.
Zero-Days waren einst die Domäne von elitären, von der Regierung unterstützten Hackergruppen. Jetzt sind sie auch das Werkzeug von gewöhnlichen Hackern.
Den Begriff Zero-Day gibt es mindestens seit den 1990er Jahren, heutzutage wird er in der Welt der digitalen Kriminalität immer häufiger verwendet.
Es geht nicht mehr nur um staatliche Spionagebehörden. Auch finanziell motivierte Gruppen der digitalen Kriminalität haben Zero-Day-Methoden entdeckt, und zwar sowohl für traditionelle Finanzbetrügereien als auch für andere Hackerangriffe wie Ransomware. Und der Aufstieg der so genannten “Exploit-Broker”, einer Branche, die Informationen über Zero-Days und entsprechende Exploits (eine Möglichkeit, die Schwachstelle auszunutzen) verkauft, hat es jedem, der genug Geld hat, ermöglicht, Zero-Days für seine eigenen Zwecke zu nutzen.
Für alle Arten von Akteuren besteht ein Großteil der Hacking-Aktivitäten darin, Schwachstellen auszunutzen, die schon vor langer Zeit bekannt wurden, aber noch nicht konsequent gepatcht wurden. Zero-Days sind zwar immer noch seltener als diese Art von Angriffen, aber indem sie verfolgen, welche Zero-Days bereits aktiv ausgenutzt wurden, können Verteidiger der Bereitstellung bestimmter Patches und Abhilfemaßnahmen in der endlosen Flut von Angriffen Priorität einräumen.
Während sich die Welt auf eine sicherere Zukunft zubewegt, arbeiten Hacker und andere böswillige Akteure hart daran, mit den neuesten und besten Sicherheitstechnologien Schritt zu halten. Dazu entwickeln und verbessern sie ihre Angriffsmethoden, um sie so effektiv wie möglich zu gestalten.
Es muss eine bessere Zusammenarbeit zwischen Sicherheitsforschern, die Schwachstellen in IoT-Geräten finden, und Herstellern, die diese Geräte produzieren, damit sie diese Schwachstellen beheben können, bevor sie von Angreifern ausgenutzt werden
