信息來源:安全內(nèi)參
-
谷歌Project Zero披露,2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例;
-
從技術角度來看,其中僅有2個“非常新穎”的漏洞,其余56個基本屬于“以往已公開漏洞的翻版”;
-
Project Zero希望,2022年能有更多廠商通過安全公告披露漏洞的在野利用情況,廣泛共享漏洞利用示例或詳細技術描述,專注減少甚至消除內(nèi)存破壞漏洞。
谷歌Project Zero研究人員表示,2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例。這是該小組自2014年成立以來,發(fā)現(xiàn)并披露零日漏洞利用案例最多的一年。
在此之前,追蹤案例量最多的2015年共發(fā)現(xiàn)28起,尚不足2021年的一半。Project Zero安全研究員Maddie Stone在昨天(4月19日)發(fā)布的報告中表示,“相較于2020年的25起,去年攀升速度確實相當顯著?!?
新的軟件漏洞一直在持續(xù)被發(fā)現(xiàn)、披露及修復,而且大多能夠搶在黑客團伙實際利用之前。而Project Zero主要關注由黑客團伙首先發(fā)現(xiàn)并利用的漏洞,也就是軟件廠商需要盡快修復的“零日漏洞”。
Stone對2021年零日漏洞案例發(fā)現(xiàn)總量上升給出了解釋。從好的一面來說,數(shù)字增長能是由于對零日漏洞的檢測和披露增加,而不是對它們的使用增加。
壞的一面來看,“惡意黑客采取的手段跟前幾年其實沒有太大變化”“他們?nèi)阅芤揽肯嗤穆┒茨J脚c利用技術,在同樣的攻擊面上順利得手。”
致力提高零日漏洞利用門檻
Project Zero已經(jīng)將這些零日漏洞信息公布在一份公開電子表格中。項目小組在發(fā)布前已經(jīng)向各軟件廠商提交了漏洞信息,保證他們能夠有時間發(fā)布修復補丁或安全更新。他們的使命是“提高零日漏洞的利用門檻。”Stone表示,“總的來說,只要讓惡意黑客無法通過公開的方法或手段利用零日漏洞,就算實現(xiàn)了拔高門檻的目標?!?
Project Zero整理出的這份表格,僅包含那些被軟件廠商或獨立研究員成功檢出并披露的漏洞。Stone說,“我們永遠無法確切了解,這些已被公開發(fā)現(xiàn)并披露的漏洞,在全部零日漏洞中到底占多大比例。”
對零日漏洞的利用往往會帶來嚴重的破壞性后果,多年來一直是網(wǎng)絡安全領域一股令人不安的恐懼之源。比如2021年9月,公民實驗室曾發(fā)布調(diào)查報告,披露以色列監(jiān)控廠商NSO Group采購零日漏洞內(nèi)置在間諜軟件產(chǎn)品中,這款產(chǎn)品廣受各國政府青睞,還被用于監(jiān)控記者及社會活動家。
Project Zero研究人員在2021年12月披露,NSO Group的這款間諜軟件(公民實驗室命名為FORCEDENTRY)是他們見到過的“技術復雜度最高的攻擊之一”,其水平之高超,完全能與“少數(shù)幾個民族國家支持的黑客攻擊”相媲美。
Stone還表示,從技術角度來看,Project Zero在2021年發(fā)現(xiàn)并披露的58個零日漏洞中,F(xiàn)ORCEDENTRY屬于僅有的2個“非常新穎”的案例,其余56個基本屬于“以往已公開漏洞的翻版”。
Stone認為,這種趨勢“對科技行業(yè)來說是個好消息”,意味著軟件廠商發(fā)現(xiàn)的大部分新漏洞,跟之前記錄在案的漏洞區(qū)別不大,相對容易解決。
越來越多軟件廠商開始主動檢出并公布自家產(chǎn)品中的零日漏洞。過去一年內(nèi),谷歌發(fā)現(xiàn)了7個零日漏洞,微軟則發(fā)現(xiàn)了10個。
Project Zero團隊希望,2022年能有更多廠商通過安全公告披露漏洞的在野利用情況,并廣泛共享漏洞利用示例或詳細技術描述。
從技術角度出發(fā),Project Zero團隊希望更多研究人員和安全專家,能專注減少甚至消除內(nèi)存破壞漏洞。一旦出現(xiàn)此類漏洞,軟件往往會在使用計算機內(nèi)存時,無意間引發(fā)異常行為或?qū)е卤罎ⅰ?