Нулевой день — это широкий термин, описывающий уязвимости безопасности, неизвестные пользователям, производителю или разработчику.
Несколько дней назад команда Обнародована безопасность Google через запись в блоге, отчет по всей коллекции прошлого года (2022 г.) в связи с 0-дневные уязвимости, где раньше появлялись эксплойты развивать патчи для соответствующего уязвимого программного обеспечения.
В представленном отчете они отмечают, что в течение 2022 г. команда Project Zero выявила 41 уязвимость 0 день (на 40% меньше, чем в 2021 году) и что, несмотря на заметное снижение количества уязвимостей, их число продолжает оставаться выше, чем в среднем за предыдущие 6 лет.
Это четвертый ежегодный обзор Google об использовании 0 дней в дикой природе [2021, 2020, 2019] и он основан на полугодовом обзоре 2022 г. Цель этого отчета — не детализировать каждый отдельный эксплойт, а скорее проанализировать эксплойты в целом за год в поисках тенденций, пробелов, извлеченных уроков и успехов.
График количества уязвимостей нулевого дня за последние годы
Упоминается, что появлению большого количества уязвимостей нулевого дня потенциально способствуют факторы такие как постоянная необходимость для злоумышленников использовать эксплойты для проведения атак и упрощение методов поиска таких уязвимостей, помимо того, что увеличение скорости применения патчей заставляет искать уязвимости данного типа вместо использования уже известных проблем. Это тоже фактор, так как плохое исправление позволяет авторам эксплойтов находить новые векторы атак для известных уязвимостей.
Например, более 40% (17 из 41) эксплойтов нулевого дня, выявленных в 2022 году, были связаны с ранее исправленными и публично раскрытыми уязвимостями. Такая возможность возникает из-за недостаточно полных или некачественных исправлений уязвимостей — разработчики уязвимых программ часто исправляют только частный случай или просто создают видимость исправления, не вникая в корень проблемы. Такие уязвимости нулевого дня потенциально можно было бы предотвратить путем дальнейшего изучения и устранения уязвимостей.
Уменьшение количества уязвимостей 0 дней по сравнению с 2021 годом можно объяснить тем, что нужно больше времени, знаний и денег для создания эксплойтов количество эксплуатируемых уязвимостей уменьшается за счет более активного использования методов защиты, для каждого эксплойта часто разрабатываются новые оперативные приемы.
Снижение числа уязвимостей нулевого дня также может быть связано с использованием более простых методов атаки, таких как фишинг и распространение вредоносных программ. На это также может повлиять возможность обхода эксплойтов для известных уязвимостей из-за того, что пользователи откладывают применение исправлений.
В отчете делается вывод, что эксплойты для исправленных уязвимостей N-day в Android не менее эффективны, чем уязвимости 0-day из-за задержки провайдеров в генерации обновлений. Например, даже если Google быстро исправит уязвимость в базовой платформе Android, исправление этой уязвимости может быть доступно большинству пользователей только через несколько месяцев, поскольку производители конечных устройств часто не спешат портировать исправления для ваших версий прошивки.
Примером может служить уязвимость CVE-2022-3038, обнаруженная в движке браузера Chrome 105 и исправленная в июне 2022 года. Эта уязвимость долгое время оставалась неисправленной в определенных браузерах таких поставщиков, как Samsung Internet. В декабре 2022 года были раскрыты факты атак на пользователей Samsung с использованием эксплойта этой уязвимости (в декабре текущая версия интернет-браузера Samsung продолжала использовать движок Chromium 102, выпущенный в мае 2022 года).
В то же время, для браузеров тоже есть смена интересов от авторов эксплойтов в пользу эксплойтов с 0 кликами по сравнению с эксплойтами с 1 кликом. 0-click относится к уязвимостям, которые не требуют действий пользователя и обычно затрагивают компоненты, отличные от самого кода браузера.
Упоминается, что уязвимости 0-click трудно обнаружить, потому что:
- они недолговечны
- У них часто нет видимых признаков их присутствия.
- Вы можете ориентироваться на множество различных компонентов, и провайдеры даже не всегда понимают все компоненты, к которым можно получить удаленный доступ.
- Доставляется непосредственно к цели, а не широко доступен, как при атаке через корыто.
- Часто не размещается на доступном для просмотра веб-сайте или сервере
Принимая во внимание, что при 1-клике есть видимая ссылка, по которой цель должна щелкнуть, чтобы доставить эксплойт. Это означает, что цель или средства безопасности могут обнаружить ссылку. Затем эксплойты размещаются на сервере, доступном для просмотра по этой ссылке.
наконец, если вы интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.