Zero-Day Schwachstellen sind solche Schwachstellen, für die noch kein Patch oder Fix öffentlich freigegeben wurde. Manchmal mit voller Absicht und Kalkül. Denn wenn sie sonst keiner per Zufall findet, sind sie äußerst brauchbar um sie für allerlei Arten von Cyberoperationen zu missbrauchen. Neben den üblichen Verdächtigen aus kriminellen Kreisen, behalten auch Militärs oder Regierungsbehörden die Entdeckung solcher Zero-Day Schwachstellen gerne für sich.

Die Ergebnisse der von der RAND Corp. durchgeführten und veröffentlichten Studie über eine recht ungewöhnliche Sammlung von über 200 Zero-Day Schwachstellen, stellt das bisherige Wissen hierüber ziemlich auf den Kopf. Die Sammlung, die Exploits der letzten 14 Jahre enthält, wurde RAND von einem Forschungspartner zur Verfügung gestellt. Die Forscher sagten dazu, sie hätten bei ihren Untersuchungen lediglich die Überschneidung zwischen dem, was der Datensatz enthält mit dem, was öffentlich bekannt gegeben wurde, verglichen.

Im Umkehrschluss bedeutet dies, dass die Dunkelziffer der bekannten aber heimlich gehorteten Zero-Days, eventuell sehr hoch sein könnte. Und interessanterweise gehen die Forscher sogar davon aus, dass die untersuchte Sammlung mit ziemlicher Sicherheit einer echten Behördensammlung ähneln würde.

Die Hälfte dieser Zero-Days ist „am Leben“ – was so viel heißt wie: noch unentdeckt und für die Öffentlichkeit unbekannt. Die andere Hälfte der Exploits in der Sammlung sind folglich „tot“ und wurden entweder gepatched oder sind der Industrie bekannt. Und dann gibt’s tatsächlich auch noch die „Zombies“. Dabei handelt es sich um halb-tote Schwachstellen. Solche sind nur noch in älteren Codeversionen zu finden und in neueren Codes nicht. Unsterbliche Schwachstellen gibt es auch. Das sind solche, um die sich überhaupt niemand mehr kümmert, da sie nur noch ganz alte oder nicht mehr produzierte Versionen handelt. Wirklich interessant für alle, die solche Exploits auf die eine oder andere Weise ausnutzen wollen werden als „lebendige“ Schwachstellen bezeichnet.

Die Studie enthält noch interessante Details über die Lebenszeit solcher Exploits. Es zeigte sich, dass etwas weniger als 6 % der Schwachstellen innerhalb eines Jahres von irgendjemand anderem entdeckt werden. Das ist eine erstaunlich geringe Menge. Nach 14 Jahren steigt dieser Prozentsatz und immer noch 60 % der Zero-Day Exploits sind unentdeckt. In den ersten 3 Monaten bleiben auch nur 0,87 % der Exploits unentdeckt. Laut der Studie bleibt ein Zero-Day Exploit im Schnitt 6,9 Jahre am Leben, bevor es entdeckt, veröffentlicht und letztendlich gepatcht wird. Und all das zeigt, weshalb es wirklich lukrativ ist, Zero-Day Exploits so lange wie möglich zu horten um sie bei Bedarf auszunutzen zu können. Die Chancen, dass Löcher entdeckt und gestopft werden, sind eher gering.

Im US-Kongress wird derzeit über eine Reform diskutiert, die genau diese Zero-Day Exploits und ihren Nutzen (für Regierungsbehörden) betrifft. Der sogenannte VEP ist ein Prozess, der feststellen soll, ob Informationen über Sicherheitsschwachstellen zurückgehalten oder veröffentlicht werden sollen. Im Rahmen des VEP würden Regierungsstellen die Entscheidung fällen und die Schwachstelle entweder selbst ausnutzen oder Herstellen die Chance geben sie zu flicken. Schon seit einer Weile sind die meisten CIA Hackingwerkzeuge Dank Wiki-Leaks öffentlich gemacht worden.

Studie von rand.org: Zero Days, Thousands of Nights; The Life and Times of Zero-Day Vulnerabilities and Their Exploits
Artikel von cyberscoop.com, 09.03.2017: Zero day study: Hoarding exploits less harmful than generally thought