Rückblick auf das erste Halbjahr 2018

Originalbeitrag von Brian Gorenc

Nach der ersten Hälfte des Jahres wird es Zeit, auf die Aktivitäten und Programme der Zero Day Initiative (ZDI) der ersten sechs Monaten zurückzublicken und sie mit der ersten Hälfte 2017 zu vergleichen. Das letzte Jahr war das arbeitsreichste überhaupt, doch 2018 zeigt einen stetigen Anstieg.

Erweiterte Forschungsgemeinschaft

500 neue Forscher haben sich in diesem Jahr als Teilnehmer am ZDI-Programm angemeldet. Bugs werden jetzt aus sechs Kontinenten eingereicht und die Einsatzstrategie wird voraussichtlich auch einen siebten erreichen. Insgesamt sind mehr als 3.500 Personen aus aller Welt registriert. In den ersten sechs Monaten des Jahres haben sie mehr als 1.000.000. $ mit ihren Schwachstellenberichten verdient.

Auch das eigene Forschungsteam hat sich vergrößert, denn die steigende Zahl der Einreichungen erfordert auch mehr ZDI-Sicherheitsforscher, die die Bugs prüfen und bewerten. Zudem sucht die ZDI immer weitere talentierte Forscher, vor allem an Universitäten, etwa an der Boğaziçi Universität in Istanbul.

Zuwachs bei den Fehlern

In der ersten Hälfte 2018 hat die ZDI 600 Advisories veröffentlicht. Zum Vergleich: Im gesamten Jahr 2017 waren es 451 — ein Zuwachs von 33%. Interessanterweise gab es weniger Advisories in diesem Jahr als Zero-Days. In den ersten sechs Monaten überstiegen lediglich 23 Advisories die Koordinierungsfristen gegenüber 49 im Vorjahr – ein Rückgang von 42%. Das bedeutet eine erfolgreiche Abstimmung von  577 Fehlerberichten mit den Herstellern, die in einen Sicherheitspatch oder anderen Maßnahmen mündeten.

Bild 1. Prozentanteil der veröffentlichten Advisories im ersten Halbjahr 2018 nach Herstellern

Bild 2: Prozentanteil der veröffentlichten Advisories im ersten Halbjahr 2017 nach Herstellern

Aus dem Vergleich lassen sich interessante Trends ableiten:

SCADA-Lücken nehmen weiterhin zu. 2017 fanden die Forscher 21 Lücken bei Schneider Electric, 2018 dann wurde Advantech die Nummer Eins auf dieser Liste. Zusammen mit Delta Industrial und Omron machen SCADA-Bugs mehr als 30% der Einreichungen in dem Programm aus. Und SCADA betrifft nicht allein den Bereich der Infrastruktur und Fertigung, denn viele dieser Produkte werden auch als IoT-Kontrollmechanismen angeboten, so dass ihre Reichweite höher ist als manch einer denkt.

Fokus auf Microsoft verstärkt sich – vor allem Browser-Bereich. Fehlerreports zu Microsoft-Produkten nahmen um 121% jedes Jahr zu. Viele dieser Berichte bezogen sich auf Browser und zeigen, wie JIT-Fehler in IE, Edge und Chakra Core zu UAF Bugs 2018 werden. Insgesamt hat Microsoft im ersten Halbjahr lediglich 8% mehr Patches als in demselben Zeitraum 2017 veröffentlicht. Das bedeutet, dass die steigende Zahl der Bug-Reports im Programm eher dessen Erweiterung beweist als einen Anstieg bei Fehlern in Microsoft-Produkten. Es gibt immer noch 39 anstehende Microsoft Bugs, und man kann davon ausgehen, dass dies in dem Tempo so weitergeht.

Apple-Zahlen täuschen. Auf den ersten Blick scheinen Apple-Reports in diesem Jahr um 28,5% zurückgegangen zu sein. Doch dies berücksichtigt nicht, wie umfassend Pwn2Own 2017 war. Wenn man die Bugs heraus rechnet, die im letzten und in diesem Jahr während Pwn2Own kamen, so gibt es einen jährlichen Anstieg von 36%. Das entspricht auch dem, was in der Warteschlange steht, wo 30 weitere Apple-Fehler auf Sicherheits-Patches warten.

Adobe-Menge bleibt konstant. Im Vergleich zum letzten Jahr gab es lediglich zwei Adobe-Fehlerreports mehr. Interessanterweise verringerte sich der Prozentsatz der Adobe-Reports um 4%. Grund dafür ist der Anstieg bei SCADA-Einreichungen (siehe oben) sowie der der Bug-Reports für den Foxit Reader. Es zeigt sich, dass die Acrobat-Alternative eigene Sicherheitsprobleme mit PDF-Dateien hat.

Fehlerreports für Trend Micro-Produkte sind während des letzten Jahres um 44% zurückgegangen. Nachdem ZDI von Trend Micro übernommen wurde, erwartete die Initiative Bug Reports zu Trend Micro-Produkten. Die kontinuierliche Arbeit des Engineering-Teams von Trend Micro hat die Sicherheit dieser Produkte verbessert, und damit ging die Zahl der neuen Reports zurück.

Aufkommen von Fehlern in Virtualisierungssoftware. Es kamen Fehlerreports zu Oracle VirtualBox zur Pwn2Own in diesem Jahr und dieser Trend führt sich fort, denn die Zahl der Reports zu Virtualisierungsprodukten stieg um 275% seit letztem Jahr. Hinzu kommen seit dem Wettbewerb im letzten Jahr VMware Reports. Dies zeigt, dass die Erforschung der Sicherheit dieser Virtualisierungprodukte voranschreitet.

Es ist wichtig, im Hinterkopf zu behalten, dass die meisten dieser Fehler zu IPS-Filtern werden. Tatsächlich werden nahezu ein Drittel der angenommenen Einreichungen in Schutzmechanismen für Trend Micro-Kunden umgewandelt. Diese Filter liefern einen Schutz für durchschnittlich 72 Tage, bevor ein Patch verfügbar wird und aufgespielt ist. Das mag zu der Schlussfolgerung führen, dass die ZDI nur solche Fehlerreports kauft, die auch gefiltert werden können. Das stimmt nicht, denn die Initiative kauft Bugs, die wichtig sind und Schaden anrichten können.

Zukunft

Alles deutet darauf hin, dass die Schwachstellenforschung weiter zunimmt. Es lässt sich nicht vorhersagen, wie das zweite Halbjahr 2018 sich entwickelt, doch wenn man 2017 als Indikator nimmt, so wird die Arbeit zunehmen. In den nächsten Monaten wird ein weiterer Mobile Pwn2Own-Wettbewerb stattfinden, und Ende Juli soll eine wichtige Erweiterung des ZDI-Programms verwirklicht werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.