Эксперты обнаружили рекордное количество взломов нулевого дня в 2021 году

20 апреля, 2022 Дядя Влад

Google опубликовал обзор Project Zero за 2021 год, раскрывающий рекордное количество эксплойтов нулевого дня (помеченных как «один из самых передовых методов атаки»), продемонстрированных некоторыми из крупнейших мировых технологических компаний.

Project Zero — это инициатива, начатая Google в 2014 году и направленная на выявление дефектов безопасности, известных как эксплойты нулевого дня. Эти уязвимости опасны, поскольку они по существу остаются незамеченными, если не внедрена система смягчения последствий, что делает системы, базы данных и т.п. полностью уязвимыми для хакеров.

Цифровое изображение ноутбука, взломанного хакером. — Графика цифровых трендов

Отчет на конец 2021 года подтвердил, что было обнаружено 58 эксплойтов нулевого дня. Это самое большое количество, обнаруженное с момента создания Project Zero — 2015 год был предыдущим рекордсменом с 28 цифровыми эксплойтами.

Для сравнения, в разгар пандемии, когда хакеры активизировали свои усилия по совершению злонамеренных киберпреступлений , команда безопасности Google выявила 25 уязвимостей в 2020 году.

Google подчеркнул, что рекордные 58 эксплойтов нулевого дня, которые были опубликованы, не обязательно являются признаком «более широкого использования эксплойтов нулевого дня». Наоборот, компания связывает это с «более активным обнаружением и раскрытием этих нулевых дней».

«Вполне вероятно, что в 2021 году были и другие уязвимости нулевого дня, которые были обнаружены и эксплуатируются в дикой природе, но поставщики не упомянули об этом в своих примечаниях к выпуску. Мы надеемся, что в 2022 году больше поставщиков начнут замечать, когда они исправляют уязвимости, которые использовались в реальных условиях. Пока мы не будем уверены, что все поставщики прозрачно раскрывают информацию о статусе дикой природы, остается большой вопрос, сколько нулевых дней в дикой природе обнаружено, но не помечено поставщиками публично».

Первый эксплойт нулевого дня, который был проанализирован в отчете, касался собственного Chromium от Google, который предоставляет открытый исходный код для своего браузера Chrome.

В Chromium зафиксировано рекордное количество ошибок нулевого дня — 14. Среди эксплойтов было 10 ошибок удаленного выполнения кода, 2 побега из песочницы и 1 утечка информации. Последняя ошибка нулевого дня привела к тому, что хакеры попытались открыть веб-страницу в приложениях на базе Android вместо Chrome.

В другом месте было обнаружено семь нулевых дней Android — довольно большой скачок по сравнению с единственным эксплойтом, обнаруженным в 2019 году, который, кстати, был единственным другим открытием команды Project Zero, относящимся к мобильной операционной системе Google.

Apple, iOS, MacOS и Windows

Google также упомянул WebKit, движок веб-браузера Apple, на котором работает Safari. По данным Google, до 2021 года Apple раскрыла только один общедоступный эксплойт нулевого дня, предназначенный для проникновения в WebKit/Safari. Но даже тогда раскрытие произошло благодаря исследованию стороннего исследователя.

Однако в 2021 году с веб-браузером Apple было связано семь нулевых дней, четыре из которых были связаны с компонентом Safari Javascript Engine.

Отказавшись от ранее скрытного характера технологического гиганта, когда дело дошло до детализации 0-day эксплойтов, «2021 год был первым полным годом, когда Apple аннотировала свои примечания к выпуску с диким статусом уязвимостей».

С этой целью Apple подтвердила пять нулевых дней iOS, а также обнаружила первый публично обнаруженный нулевой день MacOS.

Apple придает огромное значение мерам безопасности для систем на базе iOS и Mac. В конце концов, ондал студенту 100 000 долларов за взлом последнего .

Что касается Microsoft, Google подробно описал 10 нулевых дней Windows, которые были нацелены на семь отдельных элементов, включая Enhanced Crypto Provider (это, конечно, неудивительно), ядро NTOS и Win32k.

«Windows — это платформа, на которой мы наблюдаем наибольшее количество изменений в целевых компонентах по сравнению с предыдущими годами. Однако этот сдвиг, как правило, происходит в течение нескольких лет и предсказывает окончание срока службы Windows 7 в 2020 году, поэтому он до сих пор не является чем-то особенно новым», — заявили в Google.

Windows 11 также подверглась взлому после запуска . Microsoft, однако, не платит так много, как Apple, когда дело доходит до обнаружения ошибок в некоторых случаях: выплаты, по-видимому, были сокращены до 1000 долларов с 10 000 долларов.

Кроме того, в течение 2021 года было обнаружено пять нулевых дней, подключенных к Microsoft Exchange Server. «Это первый случай обнаружения и раскрытия какого-либо сервера Exchange в условиях «дикого нулевого дня» с тех пор, как мы начали отслеживать его в условиях «дикого нулевого дня», — говорится в отчете.

Хакеры придерживаются проверенных методов

Пара рук на клавиатуре ноутбука с двумя дисплеями.

В разделе отчета « Новый год, старые методы » Google подчеркнул, что, несмотря на рекордное количество «точек данных» в 2021 году, «чтобы понять, как злоумышленники на самом деле используют эксплойты нулевого дня», он был фактически удивлен, что распознал все эти данные — « ничего нового не было».

«Эксплойты нулевого дня считаются одним из самых продвинутых методов атаки, которые могут использовать субъекты, поэтому было бы легко сделать вывод, что злоумышленники должны использовать специальные приемы и поверхности атаки. Но вместо этого нулевые дни, которые мы наблюдали в 2021 году, обычно следовали тем же шаблонам ошибок, поверхностям атак и «формам» эксплойтов, которые ранее наблюдались в публичных исследованиях.

Около 67% из 58 эксплойтов нулевого дня были связаны с повреждением памяти. Google сказал, что это не должно вызывать большого удивления, если принять во внимание тот факт, что эта конкретная категория является методом поиска пути к программному обеспечению «последние несколько десятилетий», и это в значительной степени причина, по которой злоумышленники продолжают успешно получить доступ к своим целям.

Google завершил свой отчет заявлением о влиянии эксплойтов нулевого дня и последствиях успешной атаки.

«Хотя большинству людей на планете не нужно беспокоиться о своем личном риске стать мишенью нулевого дня, эксплуатация нулевого дня по-прежнему затрагивает всех нас. Эти нулевые дни, как правило, оказывают огромное влияние на общество, поэтому нам нужно продолжать делать все возможное, чтобы злоумышленникам было сложнее добиться успеха в этих атаках. 2021 год показал нам, что мы на правильном пути и добиваемся прогресса, но еще многое предстоит сделать, чтобы сделать нулевой день сложным».

Поскольку мир становится все более цифровым и технологичным, чем когда-либо прежде, киберпреступники зарабатывают миллиарды долларов, эксплуатируя отдельных лиц.

С ростом киберпреступности по всем направлениям в прошлом году у людей было украдено почти 7 миллиардов долларов , что в значительной степени связано с определенными типами преступлений, такими как утечка личных данных ( удаление ваших паролей ) и программы-вымогатели.