Laut Google ist es für Hacker zu einfach, neue Sicherheitslücken zu finden

Code auf einem Computerbildschirm

Lewis Ngugi auf Unsplash





Im Dezember 2018 entdeckten Forscher bei Google eine Gruppe von Hackern, die den Internet Explorer von Microsoft im Visier hatten. Obwohl die Neuentwicklung zwei Jahre zuvor eingestellt wurde, ist es ein so verbreiteter Browser, dass Sie, wenn Sie einen Weg finden, ihn zu hacken, potenziell eine offene Tür zu Milliarden von Computern haben.

Die Hacker suchten und fanden bisher unbekannte Schwachstellen, sogenannte Zero-Day-Schwachstellen.

Kurz nachdem sie entdeckt wurden, sahen die Forscher, wie ein Exploit in freier Wildbahn verwendet wurde. Microsoft hat einen Patch herausgegeben und den Fehler sozusagen behoben. Im September 2019 wurde eine weitere ähnliche Schwachstelle gefunden, die von derselben Hackergruppe ausgenutzt wurde.



Weitere Entdeckungen im November 2019, Januar 2020 und April 2020 summierten sich zu mindestens fünf Zero-Day-Schwachstellen, die in kurzer Zeit von derselben Fehlerklasse ausgenutzt wurden. Microsoft hat mehrere Sicherheitsupdates herausgegeben: Einige konnten die gezielte Schwachstelle nicht beheben, während andere nur geringfügige Änderungen erforderten, die nur ein oder zwei Zeilen im Code des Hackers erforderten, damit der Exploit wieder funktioniert.

'Sobald Sie einen einzigen dieser Fehler verstanden haben, können Sie einfach ein paar Zeilen ändern und weiterhin funktionierende Zero-Days haben.'

Laut einer neuen Studie von Maddie Stone, einer Sicherheitsforscherin bei Google, ist diese Saga ein Sinnbild für ein viel größeres Problem in der Cybersicherheit: dass es für Hacker viel zu einfach ist, heimtückische Zero-Days auszunutzen, weil Unternehmen nicht dauerhaft gute Arbeit leisten Schließung von Fehlern und Schlupflöchern.



Die Forschung von Stone, der Teil eines Google-Sicherheitsteams namens Project Zero ist, beleuchtet mehrere Beispiele dafür in Aktion, darunter Probleme, die Google selbst hat mit seinem beliebten Chrome-Browser hatte.

Was wir branchenweit gesehen haben: Unvollständige Patches machen es Angreifern leichter, Nutzer mit Zero-Days auszunutzen, sagte Stone am Dienstag auf der Sicherheitskonferenz Enigma. Wir verlangen nicht, dass Angreifer alle neuen Bug-Klassen erfinden, brandneue Exploits entwickeln, sich Code ansehen, der noch nie zuvor erforscht wurde. Wir erlauben die Wiederverwendung vieler verschiedener Schwachstellen, von denen wir zuvor wussten.

Niedrig hängende Frucht

Project Zero arbeitet innerhalb von Google als einzigartiges und manchmal umstrittenes Team, das sich ausschließlich der Suche nach den rätselhaften Zero-Day-Fehlern widmet. Diese Fehler sind bei Hackern aller Couleur begehrt und werden mehr denn je geschätzt – nicht unbedingt, weil ihre Entwicklung immer schwieriger wird, sondern weil sie in unserer hypervernetzten Welt mächtiger sind.



Während seiner sechsjährigen Lebensdauer hat das Team von Google über 150 größere Zero-Day-Bugs öffentlich verfolgt, und im Jahr 2020 dokumentierte das Team von Stone 24 Zero-Days, die ausgenutzt wurden – ein Viertel davon waren zuvor offengelegten Schwachstellen sehr ähnlich. Drei wurden unvollständig gepatcht, was bedeutete, dass nur wenige Änderungen am Code des Hackers erforderlich waren, damit der Angriff weiter funktionierte. Viele solcher Angriffe, sagt sie, beinhalten grundlegende Fehler und tief hängende Früchte.

Für Hacker ist es nicht schwer, sagte Stone. Sobald Sie einen einzigen dieser Fehler verstanden haben, können Sie nur ein paar Zeilen ändern und weiterhin funktionierende Zero-Days haben.

Warum werden sie nicht repariert? Die meisten Sicherheitsteams, die in Softwareunternehmen arbeiten, haben nur begrenzt Zeit und Ressourcen, schlägt sie vor – und wenn ihre Prioritäten und Anreize fehlerhaft sind, prüfen sie nur, ob sie die sehr spezifische Schwachstelle vor ihnen behoben haben, anstatt sich mit den größeren Problemen zu befassen die Wurzel vieler Schwachstellen.



Andere Forscher bestätigen, dass dies ein häufiges Problem ist.

Im schlimmsten Fall waren ein paar Zero-Days, die ich entdeckte, ein Problem des Anbieters, der etwas in einer Codezeile behebt, und in der buchstäblich nächsten Codezeile war genau dieselbe Art von Schwachstelle immer noch vorhanden, und sie taten es nicht „Kümmern Sie sich nicht darum, es zu beheben“, sagt John Simpson, ein Schwachstellenforscher bei der Cybersicherheitsfirma Trend Micro. Wir können alle reden, bis wir blau im Gesicht sind, aber wenn Organisationen nicht die richtige Struktur haben, um mehr zu tun, als den genauen Fehler zu beheben, der ihnen gemeldet wird, erhalten Sie eine so große Bandbreite an Patch-Qualität.

Ein großer Teil der Änderung hängt von Zeit und Geld ab: Ingenieuren mehr Raum zu geben, um neue Sicherheitslücken zu untersuchen, die Grundursache zu finden und die tieferen Probleme zu beheben, die oft in einzelnen Schwachstellen auftauchen. Sie können auch Variantenanalysen durchführen, sagte Stone: Sie suchen nach derselben Schwachstelle an verschiedenen Stellen oder nach anderen Schwachstellen in denselben Codeblöcken.

D verschiedene Frucht insgesamt

Einige versuchen bereits verschiedene Ansätze. Apple hat es beispielsweise geschafft, einige der schwerwiegendsten Sicherheitsrisiken des iPhones zu beheben, indem Schwachstellen auf einer tieferen Ebene ausgerottet wurden.

Im Jahr 2019 machte eine andere Google Project Zero-Forscherin, Natalie Silvanovich, Schlagzeilen, als sie vorgeführt Kritische Zero-Click-, Zero-Day-Bugs in Apples iMessage. Diese Fehler ermöglichten es einem Angreifer, das gesamte Telefon einer Person zu übernehmen, ohne dass das Opfer jemals etwas tun musste – selbst wenn Sie nicht auf einen Link geklickt haben, könnte Ihr Telefon immer noch von Hackern kontrolliert werden. (Im Dezember 2020 ergab eine neue Forschung a Hacking-Kampagne gegen Journalisten Ausnutzen eines weiteren Null-Klick-Zero-Day-Angriffs gegen iMessage.)

In NSO, Israels milliardenschwerem Spyware-Giganten Das berüchtigtste Überwachungsunternehmen der Welt sagt, es wolle seine Tat bereinigen. Los, wir hören zu.

Anstatt sich eng mit den spezifischen Schwachstellen zu befassen, ging das Unternehmen in die Eingeweide von iMessage, um die grundlegenden, strukturellen Probleme anzugehen, die Hacker ausnutzten. Obwohl Apple nie etwas über die genaue Art dieser Änderungen gesagt hat – es hat gerade eine Reihe von Verbesserungen mit seinem iOS 14-Software-Update angekündigt –, hat Samuel Groß von Project Zero kürzlich genau darauf geachtet seziert iOS und iMessage und folgerte, was passiert war.

Die App ist jetzt mit einer Funktion namens BlastDoor vom Rest des Telefons isoliert, die in einer Sprache namens Swift geschrieben ist, die es Hackern erschwert, auf den Speicher von iMessage zuzugreifen.

Apple hat auch die Architektur von iOS geändert, sodass es schwieriger ist, auf den gemeinsam genutzten Cache des Telefons zuzugreifen – eine Signatur einiger der bekanntesten iPhone-Hacks der letzten Jahre.

Schließlich hinderte Apple Hacker daran, Brute-Force-Angriffe immer wieder in schneller Folge zu versuchen. Neue Drosselungsfunktionen bedeuten, dass Exploits, die früher Minuten gedauert haben, jetzt Stunden oder Tage dauern können, bis sie abgeschlossen sind, was sie für Hacker weniger verlockend macht.

Es ist großartig zu sehen, dass Apple die Ressourcen für diese Art von großen Refactorings bereitstellt, um die Sicherheit der Endbenutzer zu verbessern, schrieb Groß. Diese Änderungen unterstreichen auch den Wert offensiver Sicherheitsarbeit: Es wurden nicht nur einzelne Fehler behoben, sondern strukturelle Verbesserungen vorgenommen, die auf Erkenntnissen aus der Exploit-Entwicklungsarbeit basieren.

Die Folgen von Hacks werden größer, je mehr wir vernetzt sind, was bedeutet, dass es für Technologieunternehmen wichtiger denn je ist, in große Cybersicherheitsprobleme zu investieren und diese zu priorisieren, die ganze Familien von Schwachstellen und Exploits hervorbringen.

Ein Ratschlag an ihre Vorgesetzten lautet: Investieren, Investieren, Investieren, erklärte Stone. Geben Sie Ihren Ingenieuren Zeit, die Grundursache von Schwachstellen vollständig zu untersuchen und diese zu patchen, geben Sie ihnen Spielraum für Variantenanalysen, belohnen Sie die Arbeit beim Abbau technischer Schulden und konzentrieren Sie sich auf systemische Korrekturen.

verbergen