信息來(lái)源:安全內(nèi)參
-
谷歌Project Zero披露,2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例;
-
從技術(shù)角度來(lái)看,其中僅有2個(gè)“非常新穎”的漏洞,其余56個(gè)基本屬于“以往已公開(kāi)漏洞的翻版”;
-
Project Zero希望,2022年能有更多廠商通過(guò)安全公告披露漏洞的在野利用情況,廣泛共享漏洞利用示例或詳細(xì)技術(shù)描述,專注減少甚至消除內(nèi)存破壞漏洞。
谷歌Project Zero研究人員表示,2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例。這是該小組自2014年成立以來(lái),發(fā)現(xiàn)并披露零日漏洞利用案例最多的一年。
在此之前,追蹤案例量最多的2015年共發(fā)現(xiàn)28起,尚不足2021年的一半。Project Zero安全研究員Maddie Stone在昨天(4月19日)發(fā)布的報(bào)告中表示,“相較于2020年的25起,去年攀升速度確實(shí)相當(dāng)顯著?!?
新的軟件漏洞一直在持續(xù)被發(fā)現(xiàn)、披露及修復(fù),而且大多能夠搶在黑客團(tuán)伙實(shí)際利用之前。而Project Zero主要關(guān)注由黑客團(tuán)伙首先發(fā)現(xiàn)并利用的漏洞,也就是軟件廠商需要盡快修復(fù)的“零日漏洞”。
Stone對(duì)2021年零日漏洞案例發(fā)現(xiàn)總量上升給出了解釋。從好的一面來(lái)說(shuō),數(shù)字增長(zhǎng)能是由于對(duì)零日漏洞的檢測(cè)和披露增加,而不是對(duì)它們的使用增加。
壞的一面來(lái)看,“惡意黑客采取的手段跟前幾年其實(shí)沒(méi)有太大變化”“他們?nèi)阅芤揽肯嗤穆┒茨J脚c利用技術(shù),在同樣的攻擊面上順利得手?!?
致力提高零日漏洞利用門檻
Project Zero已經(jīng)將這些零日漏洞信息公布在一份公開(kāi)電子表格中。項(xiàng)目小組在發(fā)布前已經(jīng)向各軟件廠商提交了漏洞信息,保證他們能夠有時(shí)間發(fā)布修復(fù)補(bǔ)丁或安全更新。他們的使命是“提高零日漏洞的利用門檻?!盨tone表示,“總的來(lái)說(shuō),只要讓惡意黑客無(wú)法通過(guò)公開(kāi)的方法或手段利用零日漏洞,就算實(shí)現(xiàn)了拔高門檻的目標(biāo)?!?
Project Zero整理出的這份表格,僅包含那些被軟件廠商或獨(dú)立研究員成功檢出并披露的漏洞。Stone說(shuō),“我們永遠(yuǎn)無(wú)法確切了解,這些已被公開(kāi)發(fā)現(xiàn)并披露的漏洞,在全部零日漏洞中到底占多大比例?!?
對(duì)零日漏洞的利用往往會(huì)帶來(lái)嚴(yán)重的破壞性后果,多年來(lái)一直是網(wǎng)絡(luò)安全領(lǐng)域一股令人不安的恐懼之源。比如2021年9月,公民實(shí)驗(yàn)室曾發(fā)布調(diào)查報(bào)告,披露以色列監(jiān)控廠商N(yùn)SO Group采購(gòu)零日漏洞內(nèi)置在間諜軟件產(chǎn)品中,這款產(chǎn)品廣受各國(guó)政府青睞,還被用于監(jiān)控記者及社會(huì)活動(dòng)家。
Project Zero研究人員在2021年12月披露,NSO Group的這款間諜軟件(公民實(shí)驗(yàn)室命名為FORCEDENTRY)是他們見(jiàn)到過(guò)的“技術(shù)復(fù)雜度最高的攻擊之一”,其水平之高超,完全能與“少數(shù)幾個(gè)民族國(guó)家支持的黑客攻擊”相媲美。
Stone還表示,從技術(shù)角度來(lái)看,Project Zero在2021年發(fā)現(xiàn)并披露的58個(gè)零日漏洞中,F(xiàn)ORCEDENTRY屬于僅有的2個(gè)“非常新穎”的案例,其余56個(gè)基本屬于“以往已公開(kāi)漏洞的翻版”。
Stone認(rèn)為,這種趨勢(shì)“對(duì)科技行業(yè)來(lái)說(shuō)是個(gè)好消息”,意味著軟件廠商發(fā)現(xiàn)的大部分新漏洞,跟之前記錄在案的漏洞區(qū)別不大,相對(duì)容易解決。
越來(lái)越多軟件廠商開(kāi)始主動(dòng)檢出并公布自家產(chǎn)品中的零日漏洞。過(guò)去一年內(nèi),谷歌發(fā)現(xiàn)了7個(gè)零日漏洞,微軟則發(fā)現(xiàn)了10個(gè)。
Project Zero團(tuán)隊(duì)希望,2022年能有更多廠商通過(guò)安全公告披露漏洞的在野利用情況,并廣泛共享漏洞利用示例或詳細(xì)技術(shù)描述。
從技術(shù)角度出發(fā),Project Zero團(tuán)隊(duì)希望更多研究人員和安全專家,能專注減少甚至消除內(nèi)存破壞漏洞。一旦出現(xiàn)此類漏洞,軟件往往會(huì)在使用計(jì)算機(jī)內(nèi)存時(shí),無(wú)意間引發(fā)異常行為或?qū)е卤罎ⅰ?