Google Project Zero утверждает, что в прошлом году индустрия программного обеспечения обнаружила больше "нулевых дней", чем когда-либо, но это не создало трудностей для злоумышленников.
Из 58 эксплойтов нулевого дня в популярных программах, которые Google Project Zero (GPZ) отследил в 2021 году, только два были действительно новыми, в то время как остальные использовали одни и те же методы снова и снова.
Это одновременно и хорошая, и плохая новость для индустрии программного обеспечения.
2021 год стал рекордным по количеству дефектов "нулевого дня" в таких программах, как Chrome, Windows, Safari, Android, iOS, Firefox, Office и Exchange, которые GPZ отследил как "никем не замеченные" до появления исправлений от производителя.
58, что более чем в два раза превышает ежегодный показатель обнаружения и выявления эксплойтов нулевого дня, свободно "гуляющих" по Сети, с тех пор, как GPZ начал отслеживать такие уязвимости в середине 2014 года.
Исследователи безопасности Google ранее указывали на проблемы с выведением тенденций из данных об уязвимостях "нулевых дней". Например, если ошибка не была замечена, это не значит, что она не использовалась. Тем не менее Google утверждает, что ситуация с обнаружением становится все лучше. Однако был и серьезный пробел в информации: имелось только пять образцов эксплойтов, используемых против каждой из 58 уязвимостей.
Хотя "0-day", обнаруженные в Сети и не использованные для атак, являются "провалом" злоумышленников, Мэдди Стоун, исследователь из GPZ, отмечает в своем блоге, что "без образца эксплойта или подробного технического описания на основе образца мы можем сосредоточиться только на устранении уязвимости, а не на смягчении метода эксплуатации".
Это означает, что злоумышленники могут продолжать использовать существующие методы эксплуатации, а не возвращаться к этапу проектирования и разработки нового метода эксплуатации, говорит она.
Злоумышленники, отмечает она, успешно используют одни и те же шаблоны ошибок и методы эксплуатации, стремясь к одним и тем же "векторам" атаки. Такое повторение означает, что злоумышленникам пока не нужно инвестировать в новые методы, и вызывает вопросы о том, насколько индустрия повышает стоимость атак для злоумышленников.
"Только два "0-day" отмечены как новые: один - технической сложностью эксплойта, а другой - использованием логических ошибок для выхода из песочницы", - отмечает она.
Чтобы добиться прогресса в 2022 году, GPZ надеется, что все производители согласятся раскрывать информацию о том, что уязвимость существует и о ней могут знать злоумышленники, в своих бюллетенях об ошибках, как это регулярно делает команда безопасности Google Chrome. Apple впервые раскрыла этот статус для iOS в 2021 году.
GPZ также хочет, чтобы образцы эксплойтов или подробные технические описания эксплойтов распространялись более широко.
Кроме того, GPZ хотела бы видеть больше работы по уменьшению уязвимостей "повреждения памяти", которые, по данным Microsoft и Google, являются наиболее распространенным типом дефектов.
Стоун отмечает, что 67% - или 39 - из 58 "диких" 0-дней за год были уязвимостями повреждения памяти.
Вывод GPZ заключается в том, что в 2021 году отрасль добилась определенного прогресса благодаря более эффективному обнаружению и раскрытию информации, но Стоун добавляет, что "как отрасль мы не делаем 0-day жесткими".
Как она объясняет: "Цель состоит в том, чтобы заставить злоумышленников начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов: они вынуждены обнаружить совершенно новую уязвимость, они должны потратить время на изучение и анализ новой поверхности атаки, они должны разработать совершенно новый метод эксплуатации".
