Het aantal ontdekte zerodaylekken in de software van Apple, Google en Microsoft was dit jaar veel lager dan het recordjaar van 2021, zo blijkt uit cijfers van Google die Security.NL analyseerde. Zero days zijn actief aangevallen kwetsbaarheden waar nog geen beveiligingsupdate van de fabrikant voor beschikbaar is. Dergelijke beveiligingslekken zijn dan ook zeer effectief voor het uitvoeren van aanvallen.

Zeroday-aanvallen vinden vaak op beperkte schaal plaats om te voorkomen dat de gebruikte kwetsbaarheid snel wordt ontdekt. Hierdoor is echter ook de zichtbaarheid op dergelijke kwetsbaarheden beperkt. Google houdt sinds enige jaren een overzicht bij van waargenomen zerodaylekken in populaire software gericht op eindgebruikers. Vorig jaar registreerde het techbedrijf 68 kwetsbaarheden. De meeste zero days werden aangetroffen in software van Apple, Google en Microsoft.

Zo kwam Apple in 2021 met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Microsoft kreeg volgens Google in 2021 met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Verder werden er ook negen zerodaylekken in de software van Samsung geregistreerd.

2021 was een waar recordjaar wat aangetroffen zerodaylekken betreft. In 2020 bleef de teller op 25 steken. Dit jaar gaat het in totaal om 38 zerodaylekken. In het overzicht van Google missen nog een aantal zerodays in Google Chrome, Windows en iOS van afgelopen maand. Als we die erbij optellen komt het totaal voor dit jaar op 38 uit. Microsoft (12), Google (11) en Apple (10) voeren wederom de lijst aan. Als er naar losse producten wordt gekeken kregen Google Chrome (9) en Windows (9) met de meeste zero days te maken.

De overige zerodaylekken buiten Apple, Google en Microsoft om komen dit jaar voor rekening van Atlassian Confluence, Mozilla Firefox (2) en Trend Micro Apex Central. Bij het overzicht van Google moet worden opgemerkt dat het niet alle zerodaylekken dekt. Zo ontbreken bijvoorbeeld zerodays in zakelijke producten, zoals Citrix, Fortinet, Mitel, en Zimbra die dit jaar werden ontdekt, maar ook in de software van QNAP waarmee duizenden NAS-apparaten werden versleuteld.

Google haalde dit jaar ook uit naar Samsung, dat gebruikers nooit over zerodaylekken heeft ingelicht, maar dat voortaan wel zegt te zullen doen. "Wanneer zerodays niet transparant worden gemeld kunnen we die informatie niet gebruiken om gebruikers verder te beschermen, om zo te begrijpen wat de aanvallers al weten", liet Maddie Stone van Googles Project Zero vorige maand weten. Net als voorgaande jaren geven fabrikanten in hun berichtgeving over zerodaylekken zelden tot nooit informatie over doelwitten en aanvallers, en hoe de aanvallen precies plaatsvinden.

Waarom het aantal ontdekte zero days dit jaar veel lager is dan het vorige jaar, is onbekend. Bij het recordjaar van 2021 stelde Google nog dat onderzoekers beter worden in het detecteren van actief aangevallen zerodaylekken. Daarnaast zouden softwareleveranciers via hun bugbountyprogramma's, waarbij onderzoekers worden betaald voor het melden van onbekende kwetsbaarheden, problemen in de software sneller weten te vinden. Ook het toepassen van bepaalde beveiligingsmaatregelen zou misbruik van kwetsbaarheden lastiger maken.

Hoewel zeroday-aanvallen veel aandacht krijgen, blijken de meeste aanvallen waarbij kwetsbaarheden worden ingezet gebruik te maken van bekende kwetsbaarheden waarvoor organisaties beschikbare beveiligingsupdates niet hebben geïnstalleerd.