Google Project Zero назвал 2021 год «рекордным годом для «диких» уязвимостей нулевого дня», поскольку в течение года было обнаружено и опубликовано 58 уязвимостей безопасности.
Это более чем двукратный скачок по сравнению с предыдущим максимумом, когда в 2015 году было отслежено 28 0-day эксплойтов. Для сравнения, в 2020 году было обнаружено только 25.
«Значительный рост числа уязвимостей нулевого дня в 2021 году связан с увеличением числа обнаружений и раскрытия таких эксплойтов, а не просто с ростом их использования в атаках» - сообщает исследователь безопасности Google Project Zero Мэдди Стоун.
«Злоумышленники успешно используют одни и те же шаблоны ошибок и техники эксплуатации, и атакуют по одним и тем же векторам» - добавила Стоун.
Команда безопасности технологического гиганта охарактеризовала эксплойты как схожие с предыдущими и публично известными уязвимостями, и только два из них заметно отличаются технической сложностью и использованием логических ошибок для выхода из песочницы.
Оба они относятся к FORCEDENTRY, эксплойту для iMessage, приписываемому израильской компании NSO Group. «Данный эксплойт был впечатляющим произведением искусства» - заявил Стоун.
По словам исследователей Google Project Zero Яна Бира и Самуэля Гросса, «побег из песочницы примечателен тем, что в нем используются только логические ошибки. Самое поразительное - это глубина поверхности атаки, достижимой из, как мы надеемся, довольно ограниченной песочницы».
Разбивка эксплойтов по платформам показывает, что большинство «диких» 0-day атак проходит на Chromium (14), далее следуют Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) и Internet Explorer (4).
Из 58 уязвимостей нулевого дня, отмеченных в 2021 году, 39 были ошибками повреждения памяти, причем эти ошибки возникли в результате use-after-free (17), out-of-bounds чтения и записи (6), переполнения буфера (4) и целочисленного переполнения (4).
Стоит также отметить, что 13 из 14 уязвимостей Chromium были ошибками повреждения памяти, большинство из которых, в свою очередь, были уязвимостями use-after-free.
Более того, исследователи Google Project Zero указали на отсутствие публичных примеров, демонстрирующих использование в реальных условиях 0-day уязвимостей в таких сервисах обмена сообщениями, как WhatsApp, Signal и Telegram, а также в других компонентах, включая ядра процессора, чипы Wi-Fi и облака.
«Это приводит к вопросу о том, отсутствуют ли эти уязвимости из-за недостаточного обнаружения, недостаточного раскрытия или из-за того и другого» - сообщил Стоун, добавив: «Как индустрия мы не слишком усложняем появление уязвимостей нулевого дня».
«Использовать 0-day уязвимости будет сложнее, когда в целом злоумышленники не смогут использовать общедоступные методы и технологии для разработки эксплойтов, что вынудит их начинать с нуля каждый раз, когда мы обнаруживаем один из их эксплойтов».
Источник: https://thehackernews.com
