Sicherheitslücken, die seit n Tage bekannt sind, nennt man „n-days“. Zero-Days sind demzufolge Lücken, die am heutigen Tage bekannt werden. Meist gibt es dann auch noch keine Patches oder Mitigationen dafür, weswegen diese Art von Lücken besonders interessant für Angreifende und Admins zugleich sind. Aber wer findet diese Lücken eigentlich?
Ein prominenter Player in dem Bereich ist die Google Threat Intelligence Group (GTIG). Im Jahresbericht zu 2024 zieht sie Bilanz zu Zero-Day-Aktivität und -Attribution und was man daraus lernen kann. Neben einigen durchaus spannenden Zahlen zum Thema „ausgenutzte Systeme“ war für uns vor allem der Absatz zu Attribution relevant. Solche Zahlen sind zwar grundsätzlich mit Vorsicht zu genießen, da eine direkte Zuordnung oft sehr schwierig ist. Die GTIG hat „nur“ 34 der 75 erkannten Zero-Days attributiert. Wenn man die Methodik akzeptiert, dann ordnet sie 15 Ausnutzungen staatlichen Akteuren zu. Weitere acht wurden durch kommerzielle Anbieter, wie z. B. Cellebrite, genutzt.
Da auch diese Händler oftmals für staatliche Akteure tätig sind, kann man einen beunruhigenden Trend erkennen: Oftmals wird die Ausnutzung von Zero-Days durch staatliche Akteure gesteuert, also auch durch Steuergeld bezahlt.
https://www.heise.de/news/Steuergeld-finanziert-Angriffe-mit-Zerodays-10367137.html
https://cloud.google.com/blog/topics/threat-intelligence/2024-zero-day-trends?hl=en
Hier gibt es weitere News aus dem Mai
