Google-Analyse: So treiben Cyber-Spionage und Spyware Zero-Day-Angriffe voran

30. April 2025

Google meldet 75 ausgenutzte Zero-Day-Lücken im Jahr 2024 – Fokus verlagert sich auf Unternehmenstechnologien

Die Google Threat Intelligence Group (GTIG) hat im Jahr 2024 weltweit 75 Zero-Day-Schwachstellen registriert, die aktiv ausgenutzt wurden. Damit liegt die Zahl unter dem Vorjahreswert von 98, jedoch über dem Niveau von 2022 (63). Die analysierten Sicherheitslücken lassen sich laut GTIG zwei Hauptkategorien zuordnen: Endbenutzertechnologien wie Mobilgeräte, Betriebssysteme und Browser sowie unternehmensorientierte Systeme, etwa Sicherheitssoftware und Hardwarelösungen.

Zwar führen viele Anbieter Maßnahmen ein, um die Ausnutzung solcher Schwachstellen zu erschweren – was sich in einigen Bereichen bereits durch rückläufige Angriffe bemerkbar macht. Doch zugleich erschweren kommerzielle Spyware-Anbieter (Commercial Surveillance Vendors, CSVs) durch ausgeklügelte Tarnmechanismen die Erkennung und Zuordnung der Angriffe.

Auffällig ist laut GTIG die wachsende Zahl von Zero-Day-Exploits, die sich gezielt gegen Unternehmensinfrastrukturen richten. Zwar dominieren weiterhin Angriffe auf klassische Endnutzersysteme, doch der Trend zu Attacken auf Business-Technologien nimmt zu. Das erfordere verstärkte Sicherheitsmaßnahmen auf breiter Front, mahnt Google – insbesondere von Anbietern, deren Lösungen bislang weniger im Fokus standen.

Wenn Sie mehr über die in diesem Bericht beschriebenen Trends erfahren und Empfehlungen für Verteidiger erhalten möchten, registrieren Sie sich für unser kommendes Zero-Day-Webinar.

Zero-Day-Exploits nehmen zu – Unternehmenstechnologien rücken stärker ins Visier

Die Zahl der Zero-Day-Angriffe steigt weiter langsam, aber stetig an. Laut einem aktuellen Bericht der Google Threat Intelligence Group (GTIG) wurden im Jahr 2024 insgesamt 75 solcher Schwachstellen entdeckt, die aktiv ausgenutzt wurden – ein Wert, der im Rahmen eines anhaltenden Aufwärtstrends liegt, den Google seit vier Jahren beobachtet.

Unternehmenssysteme verstärkt im Fokus

Ein deutliches Wachstum zeigt sich bei Angriffen auf unternehmensspezifische Technologien: Ihr Anteil an den insgesamt ausgenutzten Zero-Day-Schwachstellen stieg von 37 % im Jahr 2023 auf 44 % im Jahr 2024. Besonders betroffen waren Sicherheits- und Netzwerkprodukte – in diesem Bereich identifizierte GTIG 20 Schwachstellen, die mehr als 60 % der Unternehmens-exploits ausmachten. Diese Systeme gelten als besonders lohnende Ziele, da ein erfolgreicher Angriff hier oft tiefgreifende Kompromittierungen ganzer Netzwerke ermöglicht.

Klassische Ziele verlieren an Bedeutung

Die Verteidigungsmaßnahmen vieler Anbieter zeigen laut GTIG erste Erfolge: Die Zahl der Zero-Day-Angriffe auf klassische Ziele wie Browser oder mobile Betriebssysteme ist rückläufig. Gleichzeitig verlagert sich der Angriffsvektor zunehmend auf weniger geschützte, unternehmensorientierte Technologien.

Cyberspionage bleibt treibende Kraft

Mehr als die Hälfte aller untersuchten Schwachstellen wurde 2024 mit staatlicher Unterstützung oder durch Kunden kommerzieller Überwachungsanbieter (CSVs) ausgenutzt. Fünf der Zero-Day-Angriffe konnten Gruppen mit Verbindungen zur Volksrepublik China zugeordnet werden, acht weiteren Exploits lagen Aktivitäten von CSV-Kunden zugrunde. Ebenfalls auffällig: Nordkoreanische Akteure nutzten fünf Schwachstellen für Operationen, die politische Spionage mit finanziellen Zielen kombinierten – und lagen damit gleichauf mit China.

GTIG hat 75 in freier Wildbahn ausgenutzte Zero-Day-Schwachstellen verfolgt, die im Jahr 2024 offengelegt wurden. Diese Zahl scheint mit dem konsolidierten Aufwärtstrend übereinzustimmen, den wir in den letzten vier Jahren beobachtet haben. Nach einem anfänglichen Anstieg im Jahr 2021 schwankten die jährlichen Zahlen, kehrten jedoch nicht zu den niedrigeren Zahlen zurück, die wir 2021 und davor gesehen haben.

Zwar spielen bei der Entdeckung von Zero-Day-Exploits mehrere Faktoren eine Rolle, doch stellen wir fest, dass die kontinuierliche Verbesserung und Verbreitung von Erkennungsfunktionen sowie die häufigere Veröffentlichung von Informationen dazu geführt haben, dass im Vergleich zu den Zahlen vor 2021 mehr Zero-Day-Exploits entdeckt wurden.

Zero-Day-Exploits 2024: Fokus auf Endnutzerplattformen – technologische Muster und Angriffsvektoren

Im Jahr 2024 richteten sich 56 % aller dokumentierten Zero-Day-Exploits gegen Endbenutzerplattformen und -produkte – also Geräte und Software, die im Alltag von Individuen genutzt werden, darunter Browser, mobile Betriebssysteme und Desktop-OS. Obwohl diese Technologien auch im Unternehmenskontext eingesetzt werden, zielen Angreifer in erster Linie auf weit verbreitete Systeme mit großer potenzieller Angriffsfläche.

Rückgang bei Mobile- und Browser-Exploits – doch weiterhin kritisch

Die Zahl der Zero-Day-Exploits gegen Browser reduzierte sich von 17 auf 11, während sie bei Mobilgeräten von 17 auf 9 sank – ein signifikanter Rückgang. Dennoch bleibt insbesondere Google Chrome ein zentrales Ziel. Die hohe Nutzerbasis des Browsers macht ihn für Threat Actor besonders attraktiv. Technisch gesehen liegt der Fokus bei Chrome-Exploits meist auf JIT-Schwachstellen in der V8-Engine oder auf Sandbox Escapes mittels IPC oder Shared Memory Manipulation.

Exploit-Ketten dominieren Mobile-Angriffe

Bei mobilen Plattformen zeigte sich erneut, dass die Komplexität der Angriffe zunimmt: Rund 90 % der dokumentierten Exploits gegen Mobilgeräte bestanden aus Exploit-Ketten, also der Kombination mehrerer Zero-Days (z. B. Remote Code Execution + Kernel Privilege Escalation). Diese Ketten umgehen systematische Verteidigungsmechanismen wie Address Space Layout Randomization (ASLR), Control Flow Integrity (CFI) oder SELinux-Policies.

Besonders im Android-Ökosystem bleibt die Ausnutzung von Drittanbieterkomponenten ein zentrales Einfallstor. 3 von 7 der 2024 ausgenutzten Android-Zero-Days betrafen Bibliotheken oder Treiber von Drittanbietern – darunter häufig Baseband-Firmware, GPU-Treiber oder Custom HAL-Implementierungen. Die Fragmentierung des Android-Markts begünstigt dies, da ein erfolgreicher Exploit gegen eine weitverbreitete Komponente potenziell Dutzende Hersteller und hunderte Gerätemodelle betrifft.

Desktop-OS im Visier: Windows besonders exponiert

Im Bereich der Desktop-Betriebssysteme stieg die Anzahl erfolgreicher Zero-Day-Angriffe von 17 im Jahr 2023 auf 22 im Jahr 2024. Besonders Microsoft Windows ist überproportional betroffen: Die Zahl der Zero-Day-Schwachstellen stieg dort von 13 (2022) über 16 (2023) auf nunmehr 22.

Die Angriffe zielten häufig auf Kernel-Komponenten (z. B. win32k.sys, ntoskrnl.exe), den Windows Print Spooler oder Systemdienste wie LSASS. Ein Großteil dieser Exploits ermöglichte lokale Privilege Escalation, oft im Rahmen von Post-Exploitation durch initiale RCE-Exploits in Browsern oder Office-Dokumenten. Angesichts der hohen Durchdringung von Windows in privaten und geschäftlichen Umgebungen bleibt das OS ein zentrales Ziel für sowohl Zero-Day- als auch N-Day-Exploitation.

Arten von ausgenutzten Schwachstellen

Angreifer nutzten weiterhin Zero-Day-Schwachstellen in erster Linie, um Remote-Code-Ausführung zu erlangen und Berechtigungen zu erweitern. Im Jahr 2024 machten diese Folgen mehr als die Hälfte (42) aller nachverfolgten Zero-Day-Exploits aus.

Drei Arten von Schwachstellen wurden am häufigsten ausgenutzt. Use-after-free-Schwachstellen sind seit vielen Jahren weit verbreitet, mit acht Fällen im Jahr 2024, und finden sich in einer Vielzahl von Zielen, darunter Hardware, Low-Level-Software, Betriebssysteme und Browser. Auch Command Injection (ebenfalls acht Fälle, einschließlich OS Command Injection) und Cross-Site Scripting (XSS) (sechs Fälle) wurden 2024 häufig ausgenutzt. Sowohl Code-Injection- als auch Befehlsinjektions-Schwachstellen wurden fast ausschließlich bei Netzwerk- und Sicherheitssoftware sowie -geräten beobachtet, was auf die Absicht hindeutet, diese Schwachstellen zu nutzen, um die Kontrolle über größere Systeme und Netzwerke zu erlangen. Die XSS-Schwachstellen wurden für eine Vielzahl von Produkten genutzt, darunter Mailserver, Unternehmenssoftware, Browser und ein Betriebssystem.

Alle drei Schwachstellentypen sind auf Fehler in der Softwareentwicklung zurückzuführen und erfordern die Einhaltung höherer Programmierstandards, um ihr Auftreten zu verhindern. Sichere und präventive Codierungspraktiken, darunter unter anderem Codeüberprüfungen, die Aktualisierung älterer Codebasen und die Verwendung aktueller Bibliotheken, können den Produktionszeitplan verzögern. Patches beweisen jedoch, dass diese Sicherheitslücken mit der richtigen Absicht und dem entsprechenden Aufwand von vornherein verhindert werden können und letztlich den Gesamtaufwand für die ordnungsgemäße Wartung eines Produkts oder einer Codebasis reduzieren.

Aufgrund des heimlichen Zugriffs, den Zero-Day-Schwachstellen auf die Systeme und Netzwerke der Opfer ermöglichen, sind sie nach wie vor eine sehr begehrte Funktion für Angreifer. GTIG hat im Jahr 2024 eine Vielzahl von Bedrohungsakteuren verfolgt, die Zero-Day-Schwachstellen in verschiedenen Produkten ausgenutzt haben. Dies steht im Einklang mit unseren früheren Beobachtungen, dass sich die Ausnutzung von Zero-Day-Schwachstellen sowohl hinsichtlich der angegriffenen Plattformen als auch der Akteure, die sie ausnutzen, diversifiziert hat. Wir haben die Ausnutzung von 34 Zero-Day-Schwachstellen im Jahr 2024 festgestellt, knapp die Hälfte der insgesamt 75 Schwachstellen, die wir im Jahr 2024 identifiziert haben. Der Anteil der Ausnutzung, den wir einem Bedrohungsakteur zuordnen konnten, ist gegenüber unserer Analyse der Zero-Day-Schwachstellen im Jahr 2023 zwar leicht zurückgegangen, liegt aber immer noch deutlich über den ~30 %, die wir im Jahr 2022 ermittelt haben. Dies bestätigt zwar unsere frühere Beobachtung, dass die Investitionen der Plattformen in Maßnahmen zur Abwehr von Exploits die Ausnutzung von Zero-Day-Schwachstellen erschweren, aber die Sicherheitscommunity verbessert auch langsam ihre Fähigkeit, diese Aktivitäten zu identifizieren und Bedrohungsakteuren zuzuordnen.

In Übereinstimmung mit den Trends der Vorjahre haben wir den größten Teil der Zero-Day-Exploits traditionellen Spionageakteuren zugeschrieben, nämlich fast 53 % (18 Schwachstellen) der gesamten zugeschriebenen Exploits. Von diesen 18 haben wir die Ausnutzung von 10 Zero-Days wahrscheinlich staatlich geförderten Bedrohungsgruppen und acht CSV zugeschrieben.

 

Obwohl staatlich unterstützte Gruppen weiterhin die Hauptakteure beim Einsatz von Zero-Day-Exploits bleiben, gewinnen kommerzielle Anbieter sogenannter Commercial Surveillance Vendors (CSVs) in diesem Bereich zunehmend an Bedeutung. Wie Google berichtet, tragen CSVs mittlerweile in erheblichem Maß zur Nutzung bislang unbekannter Schwachstellen bei. Zwar ist ihr Anteil im Vergleich zu 2023 zurückgegangen – mutmaßlich durch verbesserte Sicherheitspraktiken – doch liegt er 2024 weiterhin deutlich über dem Niveau der Jahre zuvor.

Ein beunruhigender Trend: Die Werkzeuge dieser Anbieter gelangen zunehmend in die Hände weiterer Akteure, was den Zugang zu Zero-Day-Exploits breiter öffnet. Google beobachtete im Jahr 2024 mehrere Angriffsketten, bei denen Zero-Days zum Einsatz kamen, die von forensischen Dienstleistern entwickelt wurden. Diese Angriffe erforderten physischen Zugriff auf Mobilgeräte und nutzten manipulierte USB-Geräte, um Smartphones zu entsperren. Betroffen waren unter anderem die Sicherheitslücken CVE-2024-53104, CVE-2024-32896, CVE-2024-29745 und CVE-2024-29748.

Ein besonders aufsehenerregender Fall betraf einen serbischen Studenten und Aktivisten: Laut Google Threat Intelligence Group (GTIG) und Amnesty International wurde die Schwachstelle CVE-2024-53104 vom israelischen Forensikunternehmen Cellebrite entwickelt und von serbischen Behörden für einen gezielten Zugriff auf dessen Android-Gerät eingesetzt. Die entdeckten Schwachstellen wurden im Februar 2025 durch ein Sicherheitsupdate von Android geschlossen.

Redatkion AllAboutSecurity 30.04.2025

---

Bild/Quelle: https://depositphotos.com/de/home.html

---