Googles Threat Intelligence Group verzeichnete 2025 insgesamt 90 aktivly ausgenutzte Zero-Day-Schwachstellen, wobei fast die Hälfte Enterprise-Software betraf. Dies stellt einen Anstieg von 15% gegenüber 2024 dar.
Die Googles Threat Intelligence Group (GTIG) hat in ihrem jüngsten Bericht eine besorgniserregende Entwicklung dokumentiert: Im vergangenen Jahr wurden 90 Zero-Day-Schwachstellen aktiv für Cyberangriffe ausgenutzt. Dies entspricht einem Anstieg von 15% im Vergleich zu 2024, als 78 solcher Lücken ausgenutzt wurden. Allerdings bleibt die Zahl unter dem Rekordwert von 100 Zero-Days aus dem Jahr 2023.
Besonders bemerkenswert ist die Verteilung: Während 47 Schwachstellen End-User-Plattformen betrafen, richteten sich 43 gegen Enterprise-Produkte. Diese Zero-Days sind für Angreifer extrem wertvoll, da sie typischerweise für Erstzugriff, Remote Code Execution oder Privilege Escalation genutzt werden – alles bevor Hersteller Patches entwickeln konnten.
Bei den ausgebeuteten Fehlern dominieren Remote-Code-Execution-Lücken, Privilege-Escalation-Flaws, Injection- und Deserialisierungsfehler sowie Memory-Safety-Issues. Diese Speichersicherheitsprobleme machten beeindruckende 35% aller ausgenutzen Zero-Days aus. Die meisten Attacken zielten auf Betriebssysteme ab – mit 24 Zero-Days bei Desktop-Systemen und 15 bei mobilen Plattformen.
Enterprise-Systeme waren primär bei einem anderen Sektor gefährdet: Security Appliances, Netzwerkinfrastruktur, VPNs und Virtualisierungsplattformen wurden besonders häufig ins Visier genommen, da sie privilegierten Netzwerkzugriff bieten und oft ohne EDR-Überwachung auskommen.
Eine positive Nachricht kam aus dem Browser-Segment: Zero-Day-Exploits in Web-Browsern sanken auf acht Fälle – ein dramatischer Rückgang gegenüber früheren Jahren. Google vermutet, dass verstärkte Sicherheitsmaßnahmen in dieser Kategorie dafür verantwortlich sind, warnt aber auch vor dem Szenario, dass Angreifer möglicherweise fortgeschrittenere Verschleierungstaktiken einsetzen.
Microsoft war 2025 das meistattackierte Unternehmen mit 25 dokumentierten Zero-Days, gefolgt von Google (11), Apple (8), Cisco und Fortinet (je 4) sowie Ivanti und VMware (je 3).
Ein signifikanter Wendepunkt in der Bedrohungslandschaft: Kommerzielle Spyware-Hersteller haben erstmals State-Sponsored-Espionagegruppen überholt und sind zur größten Nutzergruppe undokumentierter Schwachstellen aufgestiegen. Allerdings bleiben China-linked Gruppen unter den staatlichen Akteuren am aktivsten – mit 10 ausgenutzen Zero-Days, die primär Edge-Devices und Netzwerkausrüstung für persistenten Zugriff angriffen.
Auch finanziell motivierte Angreifer zeigen zunehmende Aktivität: Ransomware- und Datenerpressungsbanden nutzten neun Zero-Days aus. Google-Forscher warnen, dass KI-Tools die automatisierte Schwachstellenentdeckung und Exploit-Entwicklung beschleunigen könnten, weshalb ein hoher Exploitationslevel auch 2026 erwartet wird.
Zum Schutz empfiehlt GTIG, Angriffsflächen zu reduzieren, kontinuierliche Systemüberwachung auf verdächtige Aktivitäten durchzuführen und schnelle Patch- und Incident-Response-Prozesse zu etablieren.
Quelle: BleepingComputer