Der Zero-Day-Exploit geht offenbar auf das Konto nordkoreanischer Hacker die damit gezielt Personen der Regierung oder des Militärs ausspähen wollten (Bild: Cisco Talos).
Google hat über sein Sicherheitsteam Project Zero 24 Zero-Days entdeckt, die von Angreifern im Jahr 2020 ausgenutzt wurden. Sechs davon waren Variationen von Schwachstellen, die in den Vorjahren offengelegt wurden, wobei Angreifer Zugang zu älteren Fehlerberichten hatten, so dass sie das vorherige Problem studieren und eine neue Exploit-Version einsetzen konnten.
„Einige dieser 0-Day-Exploits mussten nur eine oder zwei Zeilen Code ändern, um einen neuen funktionierenden 0-Day-Exploit zu haben“, erklärte Maddie Stone, Security Researcher Project Zero, in einem Blogbeitrag. Dazu gehörten Zero-Days in Chrome, Firefox, Internet Explorer, Safari und Windows. „In der gesamten Branche ermöglichen unvollständige Patches, also Patches, die die Ursache einer Schwachstelle nicht korrekt und umfassend beheben, Angreifern, mit geringem Aufwand 0-Days gegen Anwender einzusetzen.“
Sie sagte, dass ein Viertel aller im Jahr 2020 entdeckten Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden, hätten vermieden werden können, wenn die Hersteller ihre Produkte korrekt gepatcht hätten. Außerdem hätten drei weitere Zero-Days, die im Jahr 2020 entdeckt und gepatcht wurden, auf ähnliche Weise ausgenutzt werden können.
Stone betonte, dass die ursprünglichen Patches für drei Zero-Days – die Chrome, Internet Explorer und Windows betreffen – zusätzliche Korrekturen erforderten. Wenn ein Bedrohungsakteur die Patches untersucht hätte, hätte er leicht neue Exploits erstellen und dieselbe Schwachstelle erneut ausnutzen und seine Angriffe fortsetzen können.
Stone, die ihre Ergebnisse diese Woche auch auf der virtuellen Sicherheitskonferenz USENIX Enigma vorstellte, sagte, dass diese Situation hätte vermieden werden können, wenn die Hersteller die Ursache der Fehler gründlicher untersucht und mehr in den Patching-Prozess investiert hätten.
Die Project Zero-Forscherin forderte andere Sicherheitsexperten auf, den Zeitpunkt zu nutzen, an dem eine Zero-Day-Schwachstelle aufgedeckt wird, und sie eingehender zu analysieren.
Stone argumentierte, dass Zero-Days ein Fenster in die Gedankenwelt eines Angreifers bieten, das Verteidiger ausnutzen sollten, um zu erfahren, welche Zugangsvektoren ein Angreifer auszunutzen versucht, die Klasse der Schwachstelle zu bestimmen und dann umfassende Abhilfemaßnahmen zu implementieren.
Stone sagte, dies sei der ursprüngliche Grund, warum das Google Project Zero Team vor Jahren gegründet wurde, nämlich um „von 0-Days zu lernen, die in-the-wild ausgenutzt werden, um künftige 0-Days zu erschweren“.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…