Deutschland
 

Analysen von Google und Mandiant

Zero-Day-Attacken: ein schwer zu beherrschendes Risiko

Auf einem neuen Rekordhoch befindet sich die Anzahl der Angriffe über Zero-Day-Schwachstellen – zumindest scheint es so. Denn die Erkennung wird besser, wenngleich die Verteidigung weiter schwerfällt.
Von 
CSO | 25. April 2022 09:22 Uhr
Weil Angreifer Zero-Day-Schwachstellen ausnutzen, noch bevor der Anbieter um die Sicherheitslücke weiß und diese patchen kann, sind die Attacken gefährliche Bedrohungen, die nur schwer in den Griff zu bekommen sind.
Weil Angreifer Zero-Day-Schwachstellen ausnutzen, noch bevor der Anbieter um die Sicherheitslücke weiß und diese patchen kann, sind die Attacken gefährliche Bedrohungen, die nur schwer in den Griff zu bekommen sind.
Foto: Jackson Stock Photography - shutterstock.com

Zero-Day-Schwachstellen wurden im Jahr 2021 so oft ausgenutzt wie noch nie. Sowohl der Suchmaschinen-Gigant Google als auch der Security-Spezialist Mandiant kommen in ihren jüngsten Reportings zu diesem Ergebnis. Lesen Sie, warum das so ist und wie Sicherheitsverantwortliche ihre diesbezügliche Strategie verbessern können.

Cyberangriffe über Zero-Day-Schwachstellen nehmen zu

Während das Mandiant-Team im Jahr 2012 nur zwei Beispiele für Zero-Day-Schwachstellen fand, die von Angreifern ausgenutzt werden konnten, waren es 2021 bereits 80. Damit übersteigt die Anzahl den bisherigen Rekord aus 2019, der bei 32 erfolgreich ausgenutzten Sicherheitslücken lag.

Auch Google hat sein Analystenteam Project Zero Forschungen zu Zero-Day-Attacken anstellen lassen. 58 Sicherheitslücken, die erkannt und ausgenutzt wurden, untersuchte das Team. 2015 waren es noch 28. Seit 2014 verfolgt Project Zero öffentlich bekannte Zero Day Exploits und dokumentiert diese.

Aus den gestiegenen Zahlen schließen die Google-Experten jedoch nicht, dass es heute mehr Zero-Day-Schwachstellen gibt. "Wir glauben eher, dass der große Anstieg der Zero-Day-Angriffe in freier Wildbahn im Jahr 2021 auf die bessere Erkennung und Offenlegung der Angriffe und Schwachstellen zurückzuführen ist und nicht nur auf die verstärkte Ausnutzung von Zero-Days-Exploits."

Doch leider ist dies nur auf den ersten Blick eine gute Nachricht. Zwar haben Unternehmen gelernt, solche Angriffe schneller zu erkennen, aber sie können sie noch nicht verhindern.

Zero-Days-Exploits sind deshalb so gefährlich, weil Angreifer sie ausnutzen, noch bevor ihre Opfer wissen, dass die Schwachstelle überhaupt existiert. Patches stehen noch nicht zur Verfügung.

Weitere Ergebnisse der Untersuchungen von Mandiant sind:

  • Staatlich geförderte Hacker sind nach wie vor die Hauptakteure, die Zero-Day-Schwachstellen ausnutzen, vorrangig handelt es sich um chinesische Gruppen.

  • Produkte von Microsoft, Apple und Google sind aufgrund ihrer hohen Verbreitung besonders beliebte Ziele für Zero-Day-Angriffe.

  • Seit 2019 beobachtet Mandiant einen Anstieg von Ransomware-Angriffen, die Zero-Day-Schwachstellen ausnutzten. Außerdem identifizierte das Team im Jahr 2021 sechs Zero-Day-Schwachstellen, die vermutlich mithilfe von im Darknet gehandelten Malware-Angeboten ausgenutzt werden konnten.

Des Weiteren entdeckte Project Zero, dass 39 der 58 untersuchten Zero-Day-Schwachstellen aus Speicherbeschädigungen resultierten. Den Analysten zufolge waren "Memory Corruption Vulnerabilities" in den vergangenen Jahren der Standard für Angriffe auf Software. Durch Programmierfehler, die den Inhalt eines Speicherplatzes verändern, entsteht diese Art von Sicherheitslücke. Angreifer können sie ausnutzen und beliebigen Code ausführen.

Schutz vor Zero-Day-Attacken

Mandiant empfiehlt, die Arten von Bedrohungen zu priorisieren, die den größten Schaden anrichten könnten. "Wenn Unternehmen ein klares Bild vom Spektrum der Bedrohungsakteure, Malware-Familien, Kampagnen und Taktiken haben, die für ihr Unternehmen am relevantesten sind, können sie differenziert priorisieren", heißt es in dem Bericht.

Eine Schwachstelle mit geringem Risiko, die erfolgreich gegen die eigene Organisation ausgenutzt werde, habe größere Auswirkungen als eine Schwachstelle mit einer hohen Risiko-Bewertung, die aber nicht aktiv ausgenutzt werde. Die Cybersecurity and Infrastructure Security Agency (CISA) pflegt einen Katalog bekannter ausgenutzter Schwachstellen. Daran können sich Unternehmen laut Mandiant orientieren, um potenzielle Sicherheitslücken zu finden und zu stopfen.

Auch die Experten von Googles Project Zero raten Unternehmen, Ressourcen aufzuwenden, um die Techniken der Angreifer zu verstehen. Obwohl die Security-Branche Zero-Day-Angriffe heute besser erkennen könnegebe es noch Verbesserungsbedarf.. Die Analysen der vergangenen Jahre hätten gezeigt, dass die Angreifer nicht viel an ihren Vorgehensweisen ändern mussten, um erfolgreich zu sein.

Damit Zero-Day-Schwachstellen künftig weniger oft ausgenutzt werden können, wünschen sich die Google-Experten folgende Veränderungen:

  • Alle Hersteller sollten den Status von ausgenutzten Schwachstellen offenlegen.

  • Beispiele oder detaillierte technische Beschreibungen der Exploits sollten generell geteilt werden.

  • Unternehmen sollten sich stärker darauf konzentrieren, Schwachstellen durch Speicherbeschädigungen zu reduzieren.

Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.
Folgen: