Microsoft warnt davor, dass staatliche und kriminelle Akteure vermehrt öffentlich bekannt gemachte Zero-Day-Schwachstellen nutzen, um in Zielumgebungen einzudringen.
In seinem 114-seitigen Digital Defense Report erklärt der Tech-Gigant, dass er „eine Verkürzung der Zeitspanne zwischen der Bekanntgabe einer Schwachstelle und der Verbreitung dieser Schwachstelle beobachtet hat“, was es zwingend erforderlich macht, dass Unternehmen solche Sicherheitslücken rechtzeitig schließen.
Dies deckt sich auch mit einer Empfehlung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) vom April 2022, die feststellte, dass böswillige Akteure neu entdeckte Softwarefehler weltweit „aggressiv“ gegen breite Ziele einsetzen.
Microsoft wies darauf hin, dass es im Durchschnitt nur 14 Tage dauert, bis ein Exploit nach der Veröffentlichung einer Schwachstelle in freier Wildbahn verfügbar ist, und erklärte, dass Zero-Day-Angriffe zwar zunächst nur eine begrenzte Reichweite haben, aber schnell von anderen Bedrohungsakteuren übernommen werden, was zu wahllosen Sondierungen führt, bevor die Patches installiert sind.
Sie beschuldigte außerdem chinesische staatlich gesponserte Gruppen, „besonders geschickt“ bei der Entdeckung und Entwicklung von Zero-Day-Exploits zu sein.
Erschwerend kommt hinzu, dass die chinesische Cyberspace Administration (CAC) im September 2021 eine neue Verordnung zur Meldung von Schwachstellen erlassen hat, nach der Sicherheitslücken der Regierung gemeldet werden müssen, bevor sie an die Produktentwickler weitergegeben werden.
Redmond sagte weiter, dass das Gesetz es regierungsnahen Elementen ermöglichen könnte, die gemeldeten Fehler zu horten und als Waffe einzusetzen, was zu einer verstärkten Nutzung von Zero-Days für Spionageaktivitäten führen könnte, um die wirtschaftlichen und militärischen Interessen Chinas zu fördern.
Einige der Schwachstellen, die zuerst von chinesischen Akteuren ausgenutzt wurden, bevor sie von anderen gegnerischen Gruppen aufgegriffen wurden, sind
CVE-2021-35211 (CVSS-Score: 10.0) – Eine Schwachstelle in SolarWinds Serv-U Managed File Transfer Server und Serv-U Secure FTP Software, die von DEV-0322 ausgenutzt wurde.
(CVSS-Score: 10.0) – Eine Schwachstelle in SolarWinds Serv-U Managed File Transfer Server und Serv-U Secure FTP, die von DEV-0322 ausgenutzt wurde, um Remotecode auszuführen. CVE-2021-40539 (CVSS-Score: 9.8) – Ein Authentifizierungs-Bypass-Fehler in Zoho ManageEngine ADSelfService Plus, der von DEV-0322 (TiltedTemple) ausgenutzt wurde.
(CVSS-Score: 9.8) – Ein Authentifizierungs-Bypass-Fehler in Zoho ManageEngine ADSelfService Plus, der von DEV-0322 (TiltedTemple) ausgenutzt wurde. CVE-2021-44077 (CVSS-Score: 9.8) – Eine Schwachstelle in Zoho ManageEngine ServiceDesk Plus, die von DEV-0322 (TiltedTemple) ausgenutzt wurde, um unautorisiert Remotecode auszuführen.
(CVSS-Score: 9.8) – Ein nicht authentifizierter Fehler bei der Remotecodeausführung in Zoho ManageEngine ServiceDesk Plus, der von DEV-0322 (TiltedTemple) ausgenutzt wurde. CVE-2021-42321 (CVSS-Score: 8.8) – Eine Schwachstelle in Microsoft Exchange Server, die drei Tage nach ihrer Entdeckung während des Tianfu Cup Hacking Contests am 16. und 17. Oktober 2021 ausgenutzt wurde.
(CVSS-Score: 8.8) – Eine Schwachstelle in Microsoft Exchange Server, die drei Tage nach ihrer Aufdeckung während des Tianfu Cup Hacking Contests am 16. und 17. Oktober 2021 ausgenutzt wurde. CVE-2022-26134 (CVSS-Score: 9.8) – Ein Object-Graph Navigation Language (OGNL)-Injection-Fehler in Atlassian Confluence, der wahrscheinlich schon Tage vor der Veröffentlichung des Fehlers am 2. Juni gegen eine ungenannte US-Behörde ausgenutzt wurde.
Die Ergebnisse kommen fast einen Monat, nachdem die CISA eine Liste der wichtigsten Schwachstellen veröffentlicht hat, die von chinesischen Akteuren seit 2020 ausgenutzt werden, um geistiges Eigentum zu stehlen und sich Zugang zu sensiblen Netzwerken zu verschaffen.
„Zero-Day-Schwachstellen sind ein besonders effektives Mittel für die erste Ausnutzung und können, sobald sie öffentlich bekannt sind, schnell von anderen Nationalstaaten und kriminellen Akteuren wiederverwendet werden“, so das Unternehmen.