Краткое содержание

В 2022 году был обнаружен и раскрыт 41 день «дикого нуля», что является вторым по величине зарегистрированным днем с момента начала отслеживания в середине 2014 года, но меньше, чем 69, обнаруженных в 2021 году. Хотя снижение 40% может показаться очевидным сокращением числа для повышения безопасности, реальность более сложна. Некоторые из наших ключевых выводов на 2022 год включают в себя:

Из-за более длительного времени установки исправлений N дней работают аналогично 0 дням на Android. В экосистеме Android существует множество ситуаций, когда исправления недоступны пользователям в течение длительного периода времени. Злоумышленнику не нужна уязвимость 0day, он может использовать n дней, которые действуют как 0days.

Эксплойты с нулевым щелчком мыши и новые средства защиты браузера уменьшают количество уязвимостей нулевого дня в браузере. Многие злоумышленники перешли к атакам с нулевым щелчком, а не с одним щелчком мыши. Zero-click обычно нацелен на компоненты, отличные от браузера. Кроме того, во всех основных браузерах реализованы новые средства защиты, которые затрудняют использование уязвимостей и могут заставить злоумышленников перейти на другие поверхности атаки.

Уязвимости нулевого дня, выходящие за пределы 40%, являются вариантами ранее зарегистрированных уязвимостей. 17 из 41 дикого нулевого дня 2022 года являются вариантами ранее зарегистрированных уязвимостей. Это продолжает неприятную тенденцию, которую мы ранее обсуждали в нашем обзорном отчете за 2020 год и промежуточном отчете за 2022 год. Over 20% — это вариант дикого 0day из 2021 и 2020 годов.

Конфликт ошибок высок. В 2022 году сообщения о том, что злоумышленники использовали одни и те же уязвимости, участились, а исследователи безопасности также сообщали об уязвимостях, которые, как позже выяснилось, использовались злоумышленниками. Когда уязвимости нулевого дня обнаруживаются и исправляются на популярных потребительских платформах, становится все более возможным скомпрометировать уязвимости и для других злоумышленников.

Основываясь на нашем анализе нулевых дней в 2022 году, мы ожидаем, что отрасль продолжит концентрироваться на следующих областях:

1. Более полное и своевременное исправление для решения проблем, связанных с вариантами и использованием n дней как 0 дней.

2. Все больше платформ следуют примеру браузеров и выпускают более широкие меры по снижению риска использования целых классов уязвимостей.

3. Прозрачность и сотрудничество между поставщиками и специалистами по обеспечению безопасности продолжают расти, позволяя обмениваться техническими подробностями и совместно обнаруживать цепочки эксплойтов в нескольких продуктах.

С числовой точки зрения

Из 41 уязвимости, обнаруженной и раскрытой в 2022 году, ни одна не составила значительную долю всех обнаруженных уязвимостей нулевого дня. Мы видим, что они относительно равномерно распределены по году: 20 в первом полугодии и 21 во втором полугодии. Сочетание этих двух данных предполагает, что тестирование становится более частым и регулярным. Мы также обнаружили, что количество организаций, которые, как полагают, нашли 0days в дикой природе, остается высоким. С 2021 года 20 организаций были признаны виновными в обнаружении 69 уязвимостей 0day. В 2022 году 18 организаций были отмечены наградами за 41 дикое мероприятие нулевого дня. Обнадеживает то, что число организаций, занимающихся обнаружением нулевого дня, остается высоким, поскольку для решения этой проблемы нам нужно как можно больше людей.

В 2022 году был обнаружен и раскрыт 41 день дикого нуля по сравнению с 69 в 2021 году. Хотя он значительно снизился по сравнению с 2021 годом, в 2022 году он по-прежнему занимает второе место. Все нулевые дни, которые мы используем для анализа, отслеживаются в этой таблице.

0-дневный лимит количества как индикатор безопасности

Количество обнаруженных и раскрытых нулевых дней мало что говорит нам о состоянии безопасности. Вместо этого мы используем его как один из многих индикаторов. Мы считаем, что к 2022 году сочетание улучшений безопасности и регресса приведет к снижению примерно на 40% количества обнаруженных и раскрытых нулевых дней с 2021 по 2022 год, а также к сохранению количества нулевых дней выше среднего, которое мы наблюдаем. в 2022 году.

Как положительные, так и отрицательные изменения повлияют на рост и падение количества 0days в дикой природе. Поэтому мы не можем использовать только это число, чтобы указать, добиваемся ли мы прогресса в борьбе за безопасность наших пользователей. Вместо этого мы используем это число для анализа того, какие факторы могли способствовать этому результату, а затем проверяем, являются ли эти факторы областями успеха или областями, на которые необходимо обратить внимание.

Примеры факторов, приводящих к увеличению количества обнаружений и раскрытий нулевых дней в дикой природе:

Примеры факторов, которые способствовали снижению количества обнаружений и раскрытий «нулевых дней» в природе:

Мозговой штурм различных факторов, которые могут привести к росту и падению этого числа, позволяет нам понять, что происходит за этим числом, и сделать на его основе выводы. Двумя ключевыми факторами, которые приведут к увеличению количества органических нулевых дней выше среднего в 2022 году, являются: прозрачность поставщиков и варианты. Продолжающаяся работа поставщиков над обнаружением и прозрачностью является явной победой, но высокий процент вариантов нулевого дня, которые попадают в дикую природу, не так уж велик. Мы обсуждаем эти вариации более подробно в разделе «Дежавю».

Аналогичным образом мы оцениваем некоторые ключевые факторы, которые могут способствовать снижению естественного числа нулевых дней с 2021 по 2022 год. менее сложные методы атаки. Так же эффективны, как и уязвимости нулевого дня, но медленнее обнаруживают нулевые уязвимости. Само по себе количество нулевых дней в дикой природе мало что говорит нам о состоянии использования дикой природы, но различные факторы, влияющие на это число, являются настоящими уроками. Мы рассмотрим их более подробно в следующих разделах.

Вам нужен 0day на Android?

В 2022 году во всей экосистеме Android мы наблюдали серию случаев, когда производители вышестоящих версий выпускали исправления для этой проблемы, но нижестоящие производители не принимали эти исправления и выпуски исправлений для применения пользователями. Project Zero представил один из таких случаев в своем блоге «Mind the Gap» в ноябре 2022 года.

Эти различия между вышестоящими поставщиками и нижестоящими производителями позволяют n-дням (хорошо известным уязвимостям) действовать как 0-дням, поскольку у пользователей нет готовых исправлений, и их единственная защита — прекратить использование устройства. Хотя эти пробелы существуют в большинстве восходящих и нисходящих отношений, они более распространены и продолжительны в Android.

Это хороший случай для злоумышленников. Злоумышленник может воспользоваться известной уязвимостью n-day, но использовать ее как уязвимость нулевого дня, поскольку она применима ко всем затронутым устройствам. Примером того, что это произойдет на Android в 2022 году, является CVE-2022-38181, уязвимость в графическом процессоре ARM Mali. Первоначально об уязвимости сообщил команде безопасности Android в июле 2022 года Ман Юэ Мо, исследователь безопасности из Github Security Labs. Впоследствии команда безопасности Android решила, что считает проблему «неустранимой», поскольку она «специфична для конкретного устройства». Однако отдел безопасности Android передал эту проблему в ARM. В октябре 2022 года ARM выпустила новую версию драйвера, исправившую уязвимость. В ноябре 2022 года TAG обнаружила, что уязвимость широко используется. Хотя ARM выпустила исправленную версию драйвера в октябре 2022 года, уязвимость не была устранена в Android до апреля 2023 года, через 6 месяцев после первого выпуска ARM и через 9 месяцев после того, как о ней впервые сообщил Ман Юэ Мо. Найдена активно эксплуатировалась в дикой природе после 5 месяцы.

• Июль 2022 г.: отчет команде безопасности Android.

• Август 2022 г.: система безопасности Android помечена как «неустранимая» и отправлена в ARM.

• Октябрь 2022 г.: ARM исправляет ошибку.

• Ноябрь 2022 г.: обнаружены уязвимости

• Апрель 2023 г.: включено в бюллетени по безопасности Android.

В декабре 2022 года TAG обнаружила еще одну цепочку эксплойтов, нацеленную на последнюю версию интернет-браузера Samsung. На тот момент последняя версия интернет-браузера Samsung работала на Chromium 102, выпущенном семь месяцев назад, в мае 2022 года. В рамках этой цепочки злоумышленникам удалось эксплуатировать две уязвимости n-day, способные работать как 0days: CVE-2022-3038 (исправлено в Chrome 105 в июне 2022 года) и в драйвере ядра графического процессора ARM Mali CVE-2022-22706. ARM выпустила патч для CVE-2022-22706 в январе 2022 года, и хотя он был помечен как эксплойт, злоумышленники все же смогли использовать его как 0day 11 месяцев спустя. Хотя уязвимость широко использовалась в январе 2022 года, она не была включена в бюллетень по безопасности Android до июня 2023 года.

Эти n дней, которые считаются 0 днями, попадают в серую зону того, отслеживаются ли они как 0 дней. Раньше мы иногда считали их нулевыми днями: CVE-2019-2215 и CVE-2021-1048. В случае этих двух уязвимостей ошибки были исправлены в исходном ядре Linux, но в соответствии со стандартами Linux не был назначен CVE. Мы включили их, поскольку они не были идентифицированы как проблемы безопасности, которые необходимо было исправить в Android, прежде чем они были широко обнаружены. В случае CVE-2022-38181 об ошибке первоначально было сообщено в Android, и ARM выпустила рекомендации по безопасности по этой проблеме, указав, что последующим пользователям необходимо будет применить исправления. Мы продолжим попытки расшифровать эту «серую зону» ошибок, но приветствуем советы о том, как их отслеживать.

Какими будут браузеры в 2021 году

Как и в целом, количество обнаруженных браузеров нулевого дня с таргетингом в дикой природе сократилось на 42% с 2021 по 2022 год, с 26 до 15. В целом поведение злоумышленников смещается от браузеров к атакам с нулевым щелчком мыши, нацеленным на другие компоненты устройства.

Достижения в области защиты браузеров могут повлиять на использование других компонентов в качестве начальных векторов в цепочках эксплойтов. В течение 2022 года мы увидим запуск большего количества браузеров и улучшение дополнительной защиты от эксплойтов. Для Chrome это MiraclePtr, v8 Sandbox и улучшения libc++. Safari представил режим блокировки, а Firefox представил более детальную песочницу. Ки Чан Ан, исследователь уязвимостей и разработчик уязвимостей в компании Dataflow Security, поставщике наступательной безопасности, во время выступления на Zer0Con в апреле 2023 года прокомментировал, как подобные меры по смягчению последствий усложняют эксплойты браузера и заставляют людей искать другую поверхность атаки.

Браузеры становится все труднее использовать, а доставка эксплойтов продолжает развиваться в течение последних нескольких лет, что объясняет снижение количества ошибок в браузерах в 2022 году. В 2019 и 2020 годах значительная часть нулевых дней, обнаруженных в дикой природе, произошла в результате атак на водопои. Атака «водопой» — это когда злоумышленник нацелен на группу людей, которые, по его мнению, посетят веб-сайт. Любой, кто посетит сайт, будет использован и доставлен окончательная полезная нагрузка (обычно шпионское ПО). В 2021 году мы обычно видим, что ссылки в один клик становятся первоначальным вектором атаки. Как атаки на водопой, так и связывание в один клик используют браузер в качестве исходного вектора на устройстве. В 2022 году все больше злоумышленников прибегают к эксплойтам с нулевым щелчком мыши, то есть эксплойтам, которые можно активировать без взаимодействия с пользователем. Нулевые клики, как правило, нацелены на компоненты устройства, кроме браузера.

В конце 2021 года Citizen Lab обнаружила уязвимость нулевого щелчка (CVE-2023-30860), нацеленную на iMessage, которую NSO использовала в своем шпионском ПО Pegasus. Project Zero подробно описывает уязвимость в этой серии статей в блоге, состоящей из двух частей. Хотя в 2022 году не было публично обнаружено и раскрыто ни одного попадания «дикого 0», это не означает, что его не используют. Нам известно, что несколько злоумышленников использовали и в настоящее время используют цепочки эксплойтов с нулевым кликом.

Нулевые щелчки трудно обнаружить, потому что:

• срок их жизни короток

• Явных признаков их присутствия обычно нет.

• Могут быть нацелены на множество различных компонентов, и поставщики не всегда даже знают обо всех компонентах, к которым доступен удаленный доступ.

• Доставляйте прямо к цели, а не будьте широко доступны, как атаки на водопой.

• Обычно не размещается на навигационном веб-сайте или сервере.

Для эксплойтов одним щелчком мыши цель должна щелкнуть видимую ссылку, чтобы доставить эксплойт. Это означает, что цель или инструмент безопасности могут обнаружить ссылку. Эта ссылка затем используется для размещения уязвимости на навигационном сервере.

С другой стороны, нулевой щелчок обычно нацелен на код, который обрабатывает входящие вызовы или сообщения, то есть они часто могут запускаться до отображения индикатора входящего сообщения или вызова. Это также значительно сокращает их время жизни и окно, в котором их можно обнаружить «живыми». Вполне вероятно, что злоумышленники и дальше будут прибегать к эксплойтам с нулевым щелчком мыши, поэтому нам, как защитникам, необходимо сосредоточиться на том, как обнаруживать и защищать пользователей от этих эксплойтов.

Дежавю: Полное исправление остается одной из самых больших возможностей

17 из 41 0day, обнаруженных в 2022 году, были вариантами ранее обнаруженных уязвимостей. Впервые мы опубликовали соответствующий контент в обзорном отчете «Deja vulnerability» за 2020 год, указав, что 25%, появившаяся в 0days с 2020 года, является вариантом ранее обнаруженной ошибки. Это число продолжает расти, возможно, из-за:

• Защитники становятся лучше в выявлении вариантов,

• Defender совершенствует обнаружение вариантов нулевого дня в дикой природе,

• Злоумышленники используют больше вариантов или

• Исправления уязвимостей недостаточно полны, поэтому существует больше вариантов.

Ответом, вероятно, является комбинация всего вышеперечисленного, но мы знаем, что количество вариантов нулевого дня, которые могут быть использованы пользователями, не уменьшается. Сокращение количества уязвимых вариантов — одна из самых больших возможностей в сфере технологий и безопасности, заставляющая злоумышленников усерднее работать над эксплуатацией уязвимостей нулевого дня.

Не только дикие варианты 0day 2020 года превышают 40%, но и все ошибки, превышающие 20%, являются вариантами предыдущих диких 0days: 7 в 2021 году и 1 в 2020 году. 0day пойман в дикой природе и это подарок. Злоумышленники не хотят, чтобы мы знали, какие у них есть уязвимости и какие методы эксплойта они используют. Защитникам необходимо максимально использовать этот дар и максимально затруднить злоумышленникам возможность повторного использования уязвимостей нулевого дня. Это включает в себя:

• Анализируйте ошибки, чтобы найти истинную причину, а не только способ, которым злоумышленник решил воспользоваться ею в данной ситуации.

• Найдите другие места, где может существовать такая же ошибка.

• Оцените любые другие пути, которые можно использовать для использования ошибки.

• Сравните исправление с истинной основной причиной и определите, есть ли какие-либо обходные пути.

Мы считаем патч завершенным только в том случае, если он правильный и всеобъемлющий. Правильный патч — это тот, который исправляет ошибку с полной точностью, а это означает, что он больше не позволяет использовать уязвимость. Комплексное исправление применяется везде, где необходимо применить исправление, и охватывает все варианты. Когда используется одна уязвимость или ошибка, часто существует несколько способов вызвать уязвимость или несколько путей доступа к уязвимости. Слишком часто мы видим, как поставщики блокируют только пути, показанные в примерах проверки концепции или эксплойтов, вместо того, чтобы устранять уязвимость в целом. Аналогичным образом, исследователи безопасности часто сообщают об ошибках, не отслеживая, как работают исправления, и не исследуя связанные атаки.

Хотя идея о том, что неполные исправления облегчают злоумышленникам использование нулевых дней, может вызывать у людей дискомфорт, обратная сторона этого вывода может вселить в нас надежду. У нас есть четкий путь к тому, чтобы сделать нулевые дни более трудными. Если больше уязвимостей будут исправлены правильно и комплексно, злоумышленникам будет сложнее эксплуатировать нулевые дни.

Все выявленные варианты уязвимостей мы перечислили в таблице ниже. Для более полного представления о том, как действует вариант 0-day в дикой природе, посмотрите презентацию с конференции FIRST [видео, слайды], слайды с Zer0Con, презентацию с OffectiveCon [видео, слайды] CVE-2022-41073 и эту запись в блоге об CVE-2022-22620.

Эксплойты не защищены авторским правом

В отличие от многих товаров в мире, 0day сам по себе не ограничен. Тот факт, что один человек обнаруживает существование уязвимости нулевого дня и развивает ее как эксплойт, не мешает другим также самостоятельно обнаружить ее и использовать в своих эксплойтах. Большинство злоумышленников, которые самостоятельно исследуют уязвимости и разрабатывают уязвимости, не хотят, чтобы другие делали то же самое, поскольку это снижает их ценность и повышает вероятность их быстрого обнаружения и исправления.

За последние несколько лет мы стали осознавать тенденцию крупных конфликтов ошибок, когда несколько исследователей обнаруживали одну и ту же уязвимость. Это происходит между злоумышленниками, которые сообщают об ошибках поставщикам и исследователям безопасности. Хотя конфликты ошибок происходят постоянно, и мы не можем измерить точную частоту их возникновения, количество различных объектов, независимо идентифицированных как одна и та же уязвимость в рекомендациях по безопасности, один и тот же 0day, обнаруженный в двух разных уязвимостях, и даже в беседах Исследователи также предполагают, что это происходит чаще.

Увеличение количества ложных конфликтов является победой для защиты, поскольку это означает, что злоумышленники в целом используют меньше нулевых дней. Ограничение поверхности атаки и сокращение классов уязвимостей, которые можно использовать, безусловно, помогут исследователям найти те же самые ошибки, но вклад в это может внести и большее количество исследователей в области безопасности, публикующих свои исследования. Люди читают одно и то же исследование, и это рождает идею для их следующего проекта, но у многих людей оно вызывает схожие идеи. Платформы и поверхности атак также становятся все более сложными, что требует значительных затрат времени на накопление опыта в новых компонентах или целях.

Исследователи безопасности и их отчеты об уязвимостях помогают исправить те же нулевые дни, которые используют злоумышленники, даже если эти конкретные нулевые дни еще не были обнаружены в реальной жизни, тем самым ставя под угрозу уязвимости злоумышленников. Мы надеемся, что поставщики продолжат поддерживать исследователей и инвестировать в свои программы вознаграждения за ошибки, поскольку это помогает исправлять те же уязвимости, которые могут быть нацелены на пользователей. В нем также подчеркивается, почему исследователям безопасности важно тщательно исправлять известные естественные ошибки и уязвимости.

Что нам теперь делать?

Оглядываясь назад на 2022 год, наш общий вывод таков: мы как отрасль находимся на правильном пути, но существует множество областей возможностей, крупнейшей из которых является реакция отрасли на обнаруженные уязвимости.

• Мы должны быстро предоставлять пользователям исправления и средства смягчения последствий, чтобы они могли защитить себя.
• Мы должны провести детальный анализ, чтобы убедиться в устранении основной причины уязвимости.
• Мы должны поделиться как можно большим количеством технических подробностей.
• Мы должны воспользоваться обнаруженными уязвимостями, чтобы изучить и исправить как можно больше.

Все это непросто, и это неудивительно для команд безопасности, работающих в этой сфере. Это требует инвестиций, определения приоритетов и разработки процесса исправлений, который обеспечивает баланс между быстрой защитой пользователей и обеспечением ее комплексности, что иногда может вызывать стресс. Требуемые инвестиции зависят от каждой уникальной ситуации, но мы видим некоторые общие темы, касающиеся людей/ресурсов, структур стимулирования, зрелости процессов, автоматизации/тестирования, периодичности выпусков и партнерских отношений.

В этом посте мы подробно описываем некоторые меры, которые помогают обеспечить правильное и всестороннее исправление ошибок: включая анализ коренных причин, исправлений, вариантов и методов использования эксплойтов. Мы продолжим помогать проводить этот анализ, но мы надеемся и призываем команды по безопасности платформ и других независимых исследователей безопасности также инвестировать в эти усилия.

Заключительные мысли: новая команда TAG по эксплойтам

Заглядывая в будущее во второй половине 2023 года, мы с нетерпением ждем того, что нас ждет. Вы можете заметить, что наши предыдущие отчеты были опубликованы в блоге Plan Zero. Наша программа «0day in the wild» перешла от нулевой программы к TAG, чтобы объединить опыт анализа уязвимостей, обнаружения и отслеживания субъектов угроз в одну команду, извлечь выгоду из дополнительных ресурсов и в конечном итоге достичь: TAG-уязвимостей! Это еще не все, но мы очень рады тому, что это означает для защиты пользователей от атак нулевого дня и затруднения атак нулевого дня.

Источник: https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html.