Google hat über sein Sicherheitsteam Project Zero 24 Zero-Days entdeckt, die von Angreifern im Jahr 2020 ausgenutzt wurden. Sechs davon waren Variationen von Schwachstellen, die in den Vorjahren offengelegt wurden, wobei Angreifer Zugang zu älteren Fehlerberichten hatten, so dass sie das vorherige Problem studieren und eine neue Exploit-Version einsetzen konnten.
„Einige dieser 0-Day-Exploits mussten nur eine oder zwei Zeilen Code ändern, um einen neuen funktionierenden 0-Day-Exploit zu haben“, erklärte Maddie Stone, Security Researcher Project Zero, in einem Blogbeitrag. Dazu gehörten Zero-Days in Chrome, Firefox, Internet Explorer, Safari und Windows. „In der gesamten Branche ermöglichen unvollständige Patches, also Patches, die die Ursache einer Schwachstelle nicht korrekt und umfassend beheben, Angreifern, mit geringem Aufwand 0-Days gegen Anwender einzusetzen.“
Sie sagte, dass ein Viertel aller im Jahr 2020 entdeckten Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden, hätten vermieden werden können, wenn die Hersteller ihre Produkte korrekt gepatcht hätten. Außerdem hätten drei weitere Zero-Days, die im Jahr 2020 entdeckt und gepatcht wurden, auf ähnliche Weise ausgenutzt werden können.
Stone betonte, dass die ursprünglichen Patches für drei Zero-Days – die Chrome, Internet Explorer und Windows betreffen – zusätzliche Korrekturen erforderten. Wenn ein Bedrohungsakteur die Patches untersucht hätte, hätte er leicht neue Exploits erstellen und dieselbe Schwachstelle erneut ausnutzen und seine Angriffe fortsetzen können.
Stone, die ihre Ergebnisse diese Woche auch auf der virtuellen Sicherheitskonferenz USENIX Enigma vorstellte, sagte, dass diese Situation hätte vermieden werden können, wenn die Hersteller die Ursache der Fehler gründlicher untersucht und mehr in den Patching-Prozess investiert hätten.
Die Project Zero-Forscherin forderte andere Sicherheitsexperten auf, den Zeitpunkt zu nutzen, an dem eine Zero-Day-Schwachstelle aufgedeckt wird, und sie eingehender zu analysieren.
Stone argumentierte, dass Zero-Days ein Fenster in die Gedankenwelt eines Angreifers bieten, das Verteidiger ausnutzen sollten, um zu erfahren, welche Zugangsvektoren ein Angreifer auszunutzen versucht, die Klasse der Schwachstelle zu bestimmen und dann umfassende Abhilfemaßnahmen zu implementieren.
Stone sagte, dies sei der ursprüngliche Grund, warum das Google Project Zero Team vor Jahren gegründet wurde, nämlich um „von 0-Days zu lernen, die in-the-wild ausgenutzt werden, um künftige 0-Days zu erschweren“.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…