Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zerodaylekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel blikt Security.NL terug op de zerodaylekken van 2021 en achterliggende ontwikkelingen.

Een zeroday is een actief aangevallen kwetsbaarheid waar op het moment van de aanval nog geen patch van de leverancier voor beschikbaar is. Dat maakt zeroday-aanvallen ook zo effectief, omdat elk systeem waarop de software draait in principe kwetsbaar is. Google doet al enige jaren onderzoek naar zeroday-aanvallen en houdt een overzicht van gevonden zerodaylekken bij.

Dit jaar registreerde het techbedrijf een recordaantal zerodaylekken. Daarbij moet worden opgemerkt dat de lijst van Google niet compleet is. Zo ontbreken bijvoorbeeld zerodays in de software van leveranciers als Zoho, Pulse Secure en SonicWall waar het afgelopen jaar voor werd gewaarschuwd en zijn ook meerdere zerodaylekken in WordPress-plug-ins niet meegenomen.

Zichtbaarheid

Het vinden van kwetsbaarheden en ontwikkelen van een exploit om er misbruik van te maken is vaak een tijdsintensief proces. Aanvallers die zerodays inzetten kiezen dan ook vaak voor software die door meerdere potentiële doelwitten wordt gebruikt. Om te voorkomen dat de zeroday wordt ontdekt en de leverancier een update kan ontwikkelen, worden dergelijke kwetsbaarheden voor zover bekend niet massaal misbruikt. Vaak melden softwareleveranciers dan ook dat de gevonden zeroday op "beperkte schaal" bij "gerichte aanvallen" is ingezet.

Het probleem met zerodays is dat er geen volledig zicht op is waardoor het daadwerkelijke aantal onbekend is, hoewel de zichtbaarheid volgens Google wel steeds beter wordt. De afgelopen jaren is het aantal ontdekte zerodays sterk gestegen, wat kan duiden op een betere zichtbaarheid of dat er meer zerodays worden ingezet. Ging het volgens Google in 2015 nog om 28 zerodaylekken, dit jaar registreerde het techbedrijf 57 zerodays, waarvan het allergrootste deel in de software van Apple, Google en Microsoft. De 57 gevonden zerodays zijn een ruime verdubbeling ten opzichte van vorig jaar, toen de teller op 25 uitkwam. Het aantal zerodaylekken maakt trouwens een klein deel uit van het totaal aantal gevonden kwetsbaarheden. Dat kwam dit jaar uit op zo'n 20.000.

Software

De lijst van Google gaat terug tot 2014 en in de eerste jaren zijn met name Adobe Flash Player, Internet Explorer en Microsoft Office het doelwit. Flash Player is inmiddels uitgefaseerd en het aantal IE-gebruikers is nog maar een klein deel van wat het eerst was. Aanvallers hebben daarop gereageerd. Zo neemt sinds 2019 het aantal in Chrome en iOS gevonden zerodays toe.

Dit jaar kwam Apple met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Vorig jaar ging het nog om acht zerodays in Chrome en drie in iOS. In 2021 werd ook Android een doelwit voor zeroday-aanvallen met in totaal zeven zerodaylekken, tegenover nul in 2020 en één in 2019.

Microsoft kreeg volgens Google dit jaar met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Vorig jaar waren dat er nog zeven. Tien van de dit jaar aangetroffen zerodays bevinden zich in Windows en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Aanvallers gebruiken dergelijke kwetsbaarheden ook om bijvoorbeeld uit de sandboxbeveiliging van Chrome te breken.

Doelwitten

Een ander kenmerk van veel zeroday-aanvallen is dat softwareleveranciers over het algemeen niet melden tegen wie ze zijn gericht. Toch is dat niet altijd het geval. In maart van dit jaar kwam Microsoft met noodpatches voor vier aangevallen zerodaylekken in Exchange Server. Daarbij wees het techbedrijf ook een aanvaller aan. Volgens Microsoft waren de aanvallen namelijk uitgevoerd door een vanuit China opererende groep genaamd Hafnium.

In 2019 meldde het Canadese Citizen Lab, dat onderzoek doet naar zeroday-aanvallen, dat Oeigoerse en Tibetaanse groepen doelwit van zeroday-aanvallen waren geworden. Apple beschuldigde dit jaar de NSO Group van aanvallen tegen iPhone-gebruikers. De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren.

Meerdere zeroday-exploits die dit en voorgaande jaren werden ontdekt waren ontwikkeld door de NSO Group. Een van deze exploits die begin dit jaar werd gevonden omschreef Google als "één van de meest geavanceerde exploits" ooit gezien. Er zijn echter meer bedrijven zoals NSO Group actief. Veel van de zeroday-aanvallen lijken politiek gemotiveerd of betreffen (economische) spionage. Zo meldde dit jaar een collectief van mediaorganisaties en onderzoekers dat de Pegasus-spyware wereldwijd is ingezet tegen activisten, journalisten en politici.

Markt

De meeste grote softwareleveranciers hebben inmiddels bugbountyprogramma's die onderzoekers belonen voor het melden van kwetsbaarheden, zodat die vervolgens kunnen worden opgelost. Er is echter ook een markt waarbij onderzoekers gevonden beveiligingslekken kunnen verkopen zonder dat de betreffende leverancier wordt ingelicht. Een bekend voorbeeld is het bedrijf Zerodium, dat 2,5 miljoen dollar betaalt voor een exploit waarmee Androidtelefoons zonder interactie op afstand zijn over te nemen. Een soortgelijke aanval voor iOS levert 2 miljoen dollar op.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Toekomst

Eerder dit jaar stelde Maddie Stone van Google Project Zero dat onderzoekers nu een beter beeld hebben van de zeroday-aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet onder andere de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken.

Daarnaast moeten softwareleveranciers volgens Stone betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelde Stone. Eerder dit jaar meldde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Verder stelt Stone dat softwareleveranciers nauwer met onderzoekers moeten samenwerken over patches en patchontwerp voordat een update wordt uitgerold en er andere mitigatiemaatregelen aan de software worden toegevoegd.

Ook heeft Stone een boodschap voor gebruikers. Die moeten meer druk op hun softwareleveranciers uitoefenen en hen aansprakelijk houden voor het volledig verhelpen van kwetsbaarheden. Vorige week riep de PvdA het kabinet op om softwareleveranciers aan te spreken op de veiligheid van hun producten en ervoor te zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates. Daarnaast wil de partij dat er wordt gekeken hoe leveranciers aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbare software.