Google Project Zero обнаруживает рекордное количество эксплойтов нулевого дня в 2021 году

Google Project Zero назвал 2021 год "рекордным годом для диких 0-дней", поскольку в течение года было обнаружено и раскрыто 58 уязвимостей безопасности.

Разработка отмечает более чем двукратный скачок по сравнению с предыдущим максимумом, когда в 2015 году было отслежено 28 эксплойтов нулевого дня. Напротив, в 2020 году было обнаружено только 25 эксплойтов нулевого дня.

"Большой всплеск 0-дней в дикой природе в 2021 году обусловлен увеличением обнаружения и раскрытия этих 0-дней, а не просто увеличением использования 0-дневных эксплойтов", - сказала исследователь безопасности Google Project Zero Мэдди Стоун .

"Злоумышленники успешно используют одни и те же шаблоны ошибок и методы эксплуатации и преследуют одни и те же поверхности атаки",-добавил Стоун.

Внутренняя команда безопасности технологического гиганта охарактеризовала эксплойты как аналогичные предыдущим и публично известным уязвимостям, и только два из них заметно отличаются технической сложностью и использованием логических ошибок для выхода из песочницы.

Оба они относятся к FORCEDENTRY, эксплойту iMessage с нулевым кликом, приписываемому израильской компании NSO Group.

"Эксплойт был впечатляющим произведением искусства",-сказал Стоун.

Побег из песочницы "примечателен использованием только логических ошибок",-объяснили в прошлом месяце исследователи Google Project Zero Ян Бир и Сэмюэл Гросс. "Самый поразительный вынос-это глубина поверхности атаки, доступная из того, что, как мы надеемся, будет довольно ограниченной песочницей".

Разбивка этих эксплойтов по платформам показывает, что большинство дней in-the-wild 0 возникли из Chromium (14), за которым следуют Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5)и Internet Explorer (4).

Из 58, наблюдавшихся в 2021 году, 39 были уязвимостями повреждения памяти, причем ошибки возникали в результате использования после

• Use-After-Free,
• чтения и записи за пределами границ
• переполнения буфера
• переполнения целых чисел

Также стоит отметить, что Chromium 0-days были уязвимостями повреждения памяти, большинство из которых, в свою очередь, являются уязвимостями use-after-free.

Более того, Google Project Zero указал на отсутствие публичных примеров, подчеркивающих использование недостатков нулевого дня в службах обмена сообщениями, таких как WhatsApp, Signal и Telegram, а также других компонентов, включая ядра процессора, чипы Wi-Fi и облако.

"Это приводит к вопросу о том, отсутствуют ли эти 0-дни из-за отсутствия обнаружения, отсутствия раскрытия или того и другого?",-сказал Стоун, добавив: "Как отрасль, мы не делаем 0-day трудным".

"0-day будет сложнее, когда в целом злоумышленники не смогут использовать общедоступные методы и методы для разработки своих эксплойтов 0-day", заставляя их "начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов".