Το Google Project Zero λέει ότι πέρυσι η βιομηχανία λογισμικού εντόπισε περισσότερα zero-day bugs από ποτέ, αλλά αυτό δεν αύξησε σημαντικά το κόστος για τους επιτιθέμενους να βρουν και να δημιουργήσουν zero-day flaws.
Δείτε επίσης: Google Chrome: Έκτακτη ενημέρωση για τη διόρθωση zero-day bug
Από τις 58 zero-day exploits σε δημοφιλές λογισμικό που παρακολούθησε το Project Zero της Google το 2021, μόνο δύο ήταν ιδιαίτερα πρωτότυπες, ενώ οι υπόλοιπες βασίζονταν σε γνωστές τεχνικές.
Αυτά είναι τόσο καλά όσο και κακά νέα για τη βιομηχανία λογισμικού.
Το 2021 ήταν έτος ρεκόρ σε ότι αφορά τον αριθμό των zero-day flaws σε λογισμικό όπως ο Chrome, τα Windows, το Safari, το Android, το iOS, το Firefox, το Office και το Exchange που το Google Project Zero (GPZ) παρακολούθησε ως αντικείμενο εκμετάλλευσης πριν γίνει διαθέσιμο ένα vendor patch.
Ο αριθμός 58, ήταν υπερδιπλάσιος από το προηγούμενο μέγιστο των 28 που εντοπίστηκαν το 2015 και ιδιαίτερα τρομακτικό αν σκεφτεί κανείς ότι το 2020 εντοπίστηκαν μόνο 25.
Οι ερευνητές ασφάλειας της Google έχουν επισημάνει στο παρελθόν τα προβλήματα με την εξαγωγή τάσεων από δεδομένα σχετικά με εκμεταλλευόμενα zero days. Για παράδειγμα, επειδή δεν εντοπίστηκε ένα σφάλμα, αυτό δεν σημαίνει ότι δεν χρησιμοποιήθηκε. Η Google έχει υποστηρίξει ότι η ανίχνευση βελτιώνεται. Υπήρχε όμως επίσης ένα σημαντικό κενό στις πληροφορίες: υπήρχαν μόνο πέντε δείγματα των exploits που χρησιμοποιήθηκαν έναντι καθενός από τα 58 τρωτά σημεία.
Δείτε επίσης: H Google διορθώνει Chrome zero-day bug που χρησιμοποιείται σε επιθέσεις
Ενώ τα zero days που ανακαλύπτονται στη φύση είναι «αποτυχία» για τους επιτιθέμενους, η Maddie Stone, ερευνήτρια του GPZ, επισημαίνει σε ένα blogpost ότι “χωρίς το exploit δείγμα ή μια λεπτομερή τεχνική εγγραφή με βάση το δείγμα, μπορούμε να επικεντρωθούμε μόνο στη διόρθωση της ευπάθειας παρά στον μετριασμό της μεθόδου exploitation.”
Αυτή η εστίαση σημαίνει ότι οι επιτιθέμενοι μπορούν να συνεχίσουν να χρησιμοποιούν τις υπάρχουσες μεθόδους exploit αντί να πρέπει να επιστρέψουν στη φάση σχεδιασμού και ανάπτυξης για να δημιουργήσουν μια νέα μέθοδο exploitation, λέει.
Οι επιτιθέμενοι, σημειώνει, χρησιμοποιούν με επιτυχία τα ίδια μοτίβα σφαλμάτων και τεχνικές εκμετάλλευσης και κυνηγούν τα ίδια attack surfaces. Αυτή η επανάληψη σημαίνει ότι οι επιτιθέμενοι δεν αναγκάζονται να επενδύσουν σε νέες μεθόδους και εγείρει ερωτήματα σχετικά με το πόσο ο κλάδος αυξάνει το κόστος για τους επιτιθέμενους.
Για να σημειώσει πρόοδο το 2022, το GPZ ελπίζει να δει όλους τους προμηθευτές να συμφωνούν να αποκαλύπτουν ότι ένα ελάττωμα είναι εκμεταλλεύσιμο από τους χάκερ στα ενημερωτικά δελτία σφαλμάτων τους, όπως κάνει συνήθως η ομάδα ασφαλείας Chrome της Google.
Θέλει επίσης να κοινοποιηθούν ευρύτερα δείγματα exploit ή λεπτομερείς τεχνικές περιγραφές των exploits.
Δείτε επίσης: 2021: Είχαμε ρεκόρ στα Chrome zero-days που εκμεταλλεύτηκαν οι χάκερ
Και το GPZ θα ήθελε να δει περισσότερη δουλειά για τη μείωση των τρωτών σημείων memory corruption, τα οποία είναι μακράν ο πιο κοινός τύπος ελαττώματος, σύμφωνα με τη Microsoft και την Google.
Ο Stone σημειώνει ότι το 67% – ή οι 39 – από τις 58 zero-days του έτους ήταν ευπάθειες memory corruption.
Το συμπέρασμα του GPZ είναι ότι ο κλάδος σημείωσε κάποια πρόοδο το 2021 μέσω καλύτερης ανίχνευσης και αποκάλυψης.
Πηγή πληροφοριών: zdnet.com
