Google рассказал о крупнейших уязвимостях нулевого дня, обнаруженных в этом году

Google рассказал о крупнейших уязвимостях нулевого дня, обнаруженных в этом году

Согласно новому отчету Google Project Zero, половина активно эксплуатируемых уязвимостей нулевого дня, обнаруженных в первой половине года, были вариантами существующих недостатков безопасности.

«По состоянию на 15 июня 2022 года было обнаружено 18 нулевых дней, которые были раскрыты как эксплуатируемые в дикой природе в 2022 году», — говорится в отчете исследователя безопасности Google Project Zero Мэдди Стоун. «Когда мы проанализировали эти нулевые дни, мы обнаружили, что по крайней мере девять нулевых дней являются вариантами ранее исправленных уязвимостей. По крайней мере, половину нулевых дней, которые мы видели в первые шесть месяцев 2022 года, можно было бы предотвратить, с более полными исправлениями и регрессионными тестами».

Жизненный цикл нулевого дня легко представить примерно так: хакер находит уязвимость, выясняет, как ее использовать, затем использует ее до тех пор, пока кто-нибудь не выпустит патч для ее исправления, после чего хакеру нужно обнаружить бренд. — новая уязвимость. (И, конечно же, люди, использующие уязвимый продукт, наконец решают установить этот патч).

Но этот отчет Google Project Zero показывает, что разработчики на самом деле значительно упрощают жизнь злоумышленникам. Стоун объясняет:

«Многие из нулевых дней 2022 года связаны с тем, что предыдущая уязвимость не была полностью исправлена. В случае с ошибками перехватчика доступа к свойствам Windows win32k и Chromium были исправлены, но проблема с основной причиной не была устранена: злоумышленники могли вернуться и активировать исходную уязвимость другим путем, а в случае проблем с WebKit и Windows PetitPotam исходная уязвимость ранее была исправлена, но в какой-то момент произошел регресс, чтобы злоумышленники могли снова использовать ту же уязвимость. В баге iOS IOMobileFrameBuffer переполнение буфера устранялось путем проверки того, что размер меньше определенного числа, но не проверялась минимальная граница этого размера. «

Все три сценария — неспособность устранить первопричину уязвимости, случайная отмена исправления, предотвратившего использование уязвимости, или выпуск неполного исправления — позволяют хакерам использовать уже обнаруженные ими бреши в системе безопасности в качестве основы для новых атак… Для них было бы идеально, если бы их существующие методы атаки никогда не рассматривались, но, по крайней мере, им не нужно беспокоиться о поиске совершенно новых уязвимостей для эксплуатации.

«Когда эксплойты нулевого дня обнаруживаются в дикой природе, — говорит Стоун, — это случай неудачи для злоумышленника. Для нас, защитников безопасности, это подарок — узнать как можно больше и принять меры, чтобы гарантировать, что этот вектор может не будет использоваться снова. Цель состоит в том, чтобы заставить злоумышленников начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов: они вынуждены обнаруживать совершенно новую уязвимость, им приходится тратить время на изучение и анализ новой поверхности атаки., они должны разработать совершенно новый метод эксплуатации. Чтобы сделать это эффективно, нам нужны правильные и комплексные исправления».

Стоун рекомендует компаниям реагировать на эти уязвимости, проводя анализ первопричин, анализ вариантов, анализ исправлений и анализ методов эксплуатации, чтобы «помочь обеспечить правильное и всестороннее исправление ошибок».

Более подробная информация доступна в отчете Google Project Zero и на слайдах за выступление Стоуна по этому вопросу на ПЕРВОМ конференция. Ожидается, что Google Project Zero выпустит полный обзор за 2022 год в следующем году.