Google Project Zero bezeichnete das Jahr 2021 als „Rekordjahr für unentdeckte Sicherheitslücken“, denn im Laufe des Jahres wurden 58 Sicherheitslücken entdeckt und bekannt gegeben.
Diese Entwicklung ist mehr als doppelt so hoch wie der bisherige Höchststand, als 2015 28 0-Day-Exploits aufgedeckt wurden. Im Jahr 2020 wurden dagegen nur 25 0-Day-Exploits entdeckt.
„Der starke Anstieg von 0-Day-Exploits im Jahr 2021 ist auf die verstärkte Aufdeckung und Veröffentlichung dieser Exploits zurückzuführen und nicht auf die verstärkte Nutzung von 0-Day-Exploits“, so Maddie Stone, Sicherheitsforscherin beim Google Project Zero.
„Die Angreifer haben Erfolg, wenn sie dieselben Fehler und Techniken verwenden und dieselben Angriffsflächen nutzen“, so Stone weiter.
Das interne Sicherheitsteam des Tech-Giganten bezeichnete die Exploits als ähnlich wie frühere und öffentlich bekannte Schwachstellen. Nur zwei von ihnen unterschieden sich deutlich durch ihre technische Raffinesse und die Verwendung von Logikfehlern, um die Sandbox zu umgehen.
Bei beiden handelt es sich um FORCEDENTRY, einen Zero-Click-iMessage-Exploit, der dem israelischen Surveillanceware-Unternehmen NSO Group zugeschrieben wird. „Der Exploit war ein beeindruckendes Kunstwerk“, sagte Stone.
Der Ausbruch aus der Sandbox ist „bemerkenswert, weil er nur Logikfehler verwendet“, erklärten die Google Project Zero Forscher Ian Beer und Samuel Groß letzten Monat. „Am auffälligsten ist die Tiefe der Angriffsfläche, die von einer hoffentlich ziemlich eingeschränkten Sandbox aus erreichbar ist.“
Eine plattformspezifische Aufschlüsselung dieser Exploits zeigt, dass die meisten „in-the-wild 0-days“ von Chromium stammen (14), gefolgt von Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) und Internet Explorer (4).
Von den 58 „in-the-wild 0-days“, die 2021 beobachtet wurden, waren 39 Schwachstellen, die den Speicher beschädigten. Die Fehler entstanden durch use-after-free (17), out-of-bounds read and write (6), buffer overflow (4) und integer overflow (4).
Es ist auch erwähnenswert, dass 13 der 14 Chromium 0-Days Speicherkorruptionsschwachstellen waren, von denen die meisten wiederum Use-after-free-Schwachstellen waren.
Darüber hinaus wies Google Project Zero darauf hin, dass es keine öffentlichen Beispiele für die Ausnutzung von 0-Day-Schwachstellen in Messaging-Diensten wie WhatsApp, Signal und Telegram sowie in anderen Komponenten wie CPU-Kernen, Wi-Fi-Chips und der Cloud gibt.
„Das wirft die Frage auf, ob diese 0-Day-Schwachstellen aufgrund mangelnder Erkennung, mangelnder Offenlegung oder beidem nicht auftauchen“, sagte Stone und fügte hinzu: „Als Industrie machen wir es 0-Day-Schwachstellen nicht schwer.
„0-Day wird schwieriger, wenn die Angreifer nicht in der Lage sind, öffentliche Methoden und Techniken für die Entwicklung ihrer 0-Day-Exploits zu nutzen, sondern jedes Mal, wenn wir einen ihrer Exploits entdecken, bei Null anfangen müssen“.