Google (TAG & Mandiant) veröffentlichen eine neue Studie, die im Jahr 2023 97 Zero-Day-Schwachstellen beobachtete, die in freier Wildbahn ausgenutzt wurden. Das sind über 50 Prozent mehr als im Jahr 2022 (62 Schwachstellen), aber weniger als die rekordverdächtigen 106 Schwachstellen, die im Jahr 2021 ausgenutzt wurden.
TAG und Mandiant waren für die ursprüngliche Entdeckung von 29 dieser Schwachstellen verantwortlich.
Die Google-Forscher teilen die Schwachstellen in zwei Hauptkategorien ein: Endnutzer-Plattformen und -Produkte (z. B. mobile Geräte, Betriebssysteme, Browser und andere Anwendungen) und auf Unternehmen ausgerichtete Technologien wie Sicherheitssoftware und Appliances.
Der Bericht hebt einige der Erfolge und Fortschritte der Branche hervor, weist aber auch darauf hin, dass das Tempo der Entdeckung und Ausnutzung von Zero-Day-Schwachstellen im Vergleich zu den Zahlen von vor 2021 wahrscheinlich erhöht bleiben wird.
Wichtigste Ergebnisse:
- Von den 58 Zero-Days, für die wir die Motive des Bedrohungsakteurs zuordnen konnten:
- 48 von ihnen wurden Spionageakteuren zugeschrieben
- Die verbleibenden 10 waren finanziell motivierte Akteure
- Die Volksrepublik China (VRC) steht weiterhin an der Spitze der staatlich unterstützten Angriffe.
- Cyberspionage-Gruppen aus China nutzten im Jahr 2023 12 Zero-Day-Schwachstellen aus, gegenüber sieben im Jahr 2022
- Fast zwei Drittel (61) der Zero-Days betrafen Endnutzerplattformen und -produkte (z. B. mobile Geräte, Betriebssysteme, Browser und andere Anwendungen)
- Die verbleibenden 36 Schwachstellen betrafen auf Unternehmen ausgerichtete Technologien wie Sicherheitssoftware und -geräte.
- Es gibt Fortschritte: Die Google-Forscher stellen fest: „Anbieter von Endnutzerplattformen wie Apple, Google und Microsoft haben bemerkenswerte Investitionen getätigt, die sich deutlich auf die Art und Anzahl der Zero-Days auswirken, die Akteure ausnutzen können.“
- Die Angriffe auf Unternehmen nehmen weiter zu und werden 2023 vielfältiger sein.
- Google verzeichnete eine 64-prozentige Zunahme der Ausnutzung von unternehmensspezifischen Technologien durch Angreifer im Vergleich zum Vorjahr und eine generelle Zunahme der Anzahl von Unternehmensanbietern, die seit mindestens 2019 ins Visier genommen werden.
- Im Jahr 2023 sah Google mehr Bugs in Komponenten und Bibliotheken von Drittanbietern als im Code der Erstanbieter des Produkts.
- iOS vs. Android:
- Im Jahr 2023 wurden neun “in-the-wild”-Zero-Days für Android entdeckt und veröffentlicht, gegenüber drei im Jahr 2022
- Im Jahr 2023 wurden acht Zero-Days in freier Wildbahn für iOS entdeckt und veröffentlicht, gegenüber vier im Jahr 2022.
- Safari vs. Chrome: Im Jahr 2023 gab es acht Zero-Days in freier Wildbahn, die auf Chrome abzielten, und 11, die auf Safari abzielten.
www.mandiant.de