Google: Schlechte Software-Fixes für Hälfte aller Zero-Day-Exploits verantwortlich

Forscher von Googles Project Zero haben 18 Zero-Day-Lücken untersucht, die in diesem Jahr von Hacker ausgenutzt wurden, bevor ein Patch verfügbar war. Dabei stellten sie fest, dass die Hälfte der Schwachstellen hätte vermieden werden können, wenn die Softwarehersteller bei der Entwicklung und den Tests von Patches sorgfältiger gewesen wären.

In die Untersuchung sind Zero-Day-Lücken in Software wie Microsoft Windows, Apple iOS und WebKit, Google Chromium und Pixel sowie Confluence Server von Atlassian eingeflossen. Google Project Zero beschränkte sich allerdings auch Zero-Day-Lücken großer Softwareanbieter – die Auswertung bezieht sich also nicht auf alle Zero-Day-Lücken des Jahres 2022.

„Mindestens die Hälfte der Zero-Days, die wir in den ersten sechs Monaten des Jahres 2022 gesehen haben, hätten durch umfassendere Patches und Regressionstests verhindert werden können. Hinzu kommt, dass vier der Zero-Days aus dem Jahr 2022 Varianten von “in-the-wild”- Zero-Days aus dem Jahr 2021 sind. Nur 12 Monate, nachdem der ursprüngliche In-the-Wild Zero-Day gepatcht worden war, kamen die Angreifer mit einer Variante des ursprünglichen Fehlers zurück“, schreibt Maddie Stone von Googles Project Zero in einem Blogeintrag.

Patches von Microsoft und Google nicht besser als „Heftpflaster“

2021 erreichte die Zahl der Zero-Day-Lücken einen neuen Höchststand. Allerdings führt Google diese Statistik erst seit fünf Jahren. Den Anstieg erklärt das Unternehmen unter anderem damit, dass Forscher heute mehr Erfahrung haben bei der Erkennung von aktiv ausgenutzten Zero-Day-Lücken. Google weist aber auch darauf hin, dass Browser heute ähnlich komplex seien wie Betriebssysteme – zudem seien Browser nach dem Wegfall von Plug-ins wie Flash heute eines der wichtigsten Ziele von Hackern.

Stone fordert zudem, dass die Softwarehersteller stärker gegen bestimmte Fehlerklassen vorgehen. 67 Prozent der 2021 gemeldeten Zero-Day-Lücken seien Speicherfehler gewesen. Laut Chrome Security Team lassen sich bestimmte Speicherfehler allerdings nur zu Lasten der Performance vermeiden. Auch sei es nicht praktikabel, die Codebasis von Chrome von C++ auf beispielsweise Rust umzustellen, das mehr Speichersicherheit als C und C++ biete.

Darüber hinaus beklagt Stone, dass einige Patches nicht viel besser seien als Heftpflaster. Diesen Vorwurf richtete sie gegen Microsoft und auch gegen ihren Arbeitgeber Google. „Viele der In-the-wild Zero-Days des Jahres 2022 sind darauf zurückzuführen, dass die vorherige Schwachstelle nicht vollständig gepatcht wurde. Im Fall der Windows win32k- und der Chromium Property Access Interceptor-Schwachstellen wurde zwar der Ausführungsfluss, den die Proof-of-Concept-Exploits nahmen, gepatcht, aber das ursächliche Problem wurde nicht behoben: Angreifer konnten zurückkommen und die ursprüngliche Schwachstelle über einen anderen Weg auslösen.“