Erhebung von Google und Mandiant

Zahl ausgenutzter Zero-Day-Lücken steigt 2023 an

Uhr
von René Jaun und tme

2023 haben Google und Mandiant 97 Schwachstellen entdeckt, die von Cyberkriminellen bereits für Angriffe ausgenutzt wurden. Im Vorjahresvergleich bedeutet dies eine Zunahme um mehr als 50 Prozent. Die Mehrheit der ausgenutzten Sicherheitslücken steckt in Programmkomponenten von Drittanbietern.

(Source: DC Studio / Freepik.com)
(Source: DC Studio / Freepik.com)

Wenn ein Unternehmen vor Zero-Day-Schwachstellen warnt, ist schnelles Handeln angesagt. Denn bei diesen Sicherhheitslücken handelt es sich um jene, die Cyberkriminelle für ihre Machenschaften missbrauchen. Wie aktuell dieses Problem ist, zeigen neue Zahlen der zu Google gehörenden Threat Analysis Group (TAG) und Mandiant. Sie zählten im Jahr 2023 insgesamt 97 derart ausgenutzte Schwachstellen. Das sind zwar über 50 Prozent mehr als die 2022 gemessenen 62 Zero-Day-Lücken, die Zahl liegt aber etwas unter dem 2021 gemessenen Höchststand von 106 Schwachstellen.

Mit 61 steckten fast zwei Drittel der Zero-Day-Schwachstellen in Anwenderprodukten wie Browsern, Betriebssystemen oder Apps. Die übrigen 36 Sicherheitslücken befanden sich in unternehmensspezifischen Lösungen. Im Vergleich zum Vorjahr seien Zero-Day-Angriffe auf Unternehmenslösungen um 64 Prozent angestiegen, merkt Google an.

Die Mehrheit der ausgenutzten Schwachstellen steckte 2023 nicht im primären Programmcode sondern in Drittkomponenten, also etwa Programmbibliotheken. Da solche Komponenten oft in verschiedenen Produkten integriert sind, vergrössert sich die Angriffsfläche.

In 58 der beobachteten Fällen konnten die Forschenden das Motiv hinter dem Zero-Day-Angriff zuordnen. 48 Fälle kategorisieren sie als Spionageangriffe. Die 10 übrigen seien finanziell motiviert.

Der Einsatz gegen Zero-Day-Schwachstellen lohne sich, schreiben die Forschenden in ihrer Analyse und verweisen auf Anstrengungen der Tech-Konzerne Microsoft, Google und Apple. "Schwachstellen, die in den vergangenen Jahren gang und gäbe waren, sind heute praktisch nicht mehr vorhanden", kommentieren sie. Es liege nun an der gesamten Branche, Lehren aus den vergangenen Jahren zu ziehen und sie auf das gesamte Ökosystem anzuwenden.

Die vollständige Studie stellt Google zum Download zur Verfügung.

Zu den Referierenden der Swiss Cyber Security Days 2024 gehörte auch Natalie Silvanovich, Team Leader Project Zero (North America) bei Google. Sie schilderte, wie Project Zero es den Cyberkriminellen möglichst schwierig machen will, Zero Days auszunutzen. Hier lesen Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
3mUBmNP2