Google Project Zero wykrył rekordowo wysoki poziom exploitów 0-day w 2021 roku
Z przedstawionego raportu dowiadujemy się, że w ubiegłym wykryto aż 58 przypadków exploitów 0-day w 2021 roku. Jest to przeszło dwukrotnie więcej niż wynosił ostatni, zarejestrowany w 2015 roku, rekord. Wówczas udało się prześledzić 28 przypadków. Warto również wspomnieć o ogromnym wzroście notowanym w stosunku do 2020 roku, kiedy to wykryto ich zaledwie 25.
Czytaj też: W ubiegłym roku Apple, przy produkcji swoich urządzeń, wykorzystało rekordowo dużo materiałów z recyklingu
Nowe błędy w oprogramowaniu są odkrywane, ujawniane publicznie i łatane przez cały czas, często zanim hakerzy zdołają je w jakikolwiek sposób wykorzystać. Maddie Stone, badaczka ds. bezpieczeństwa z Project Zero zaznacza jednak, że wzrost liczby wykrytych exploitów 0-day niekoniecznie musi wiązać się ze wzmożona aktywnością i większymi sukcesami po stronie hakerów. Stone twierdzi, że prawdopodobnie spowodowane jest to przez zwiększenie wykrywalności i skuteczności technik badawczych. Niestety „metodologia atakujących nie musiała się zbytnio zmieniać od poprzednich lat. Atakujący odnoszą sukcesy, korzystając z tych samych wzorców błędów i technik eksploatowania, a także dążą do tych samych powierzchni ataku”.
Czytaj też: Chcesz zainstalować sklep Google Play na systemie Windows 11? Uważaj na złośliwe oprogramowanie
Google pochwalił Microsoft, Apple, Apache i ich własne zespoły Chromium i Android za publiczne ujawnienie luk w biuletynach bezpieczeństwa w ich własnych produktach w 2021 roku. Również ARM i Qualcomm ujawniali luki, choć nie przekazywali na ich temat żadnych szczegółów we własnych poradnikach. Google Project Zero uważa, że prawdopodobnie istnieje większa liczba exploitów 0-day, ale dokładna liczba nie jest znana, ponieważ wielu producentów nie ujawnia żadnej wykrytej luki.
Z 58. 0-day’ów wykrytych w 2021 r., 39 lub 67% było związanych z uszkodzeniem pamięci, w tym błędami nieprawidłowego korzystania z pamięci dynamicznej podczas działania programu, zapisywania danych po zakończeniu lub przed rozpoczęciem buforowania czy przepełnienie bufora. W swoim badaniu Project Zero wyszczególnił główne błędy zero-day według komponentów: Chromium (14), Windows (10), Android (7), WebKit (7), iOS/macOS (5), Exchange Server (5) i IE (4).
Czytaj też: Korzystacie z Office 2013? Musicie zacząć rozglądać się za nowszym pakietem
Badacze zauważyli przy okazji bardzo interesującą rzecz. Prawie wszystkie exploity 0-day wykorzystywały publicznie znane wzorce błędów, powierzchnie ataków i mechanizmy exploitowania. Każe to podejrzewać, że jest to nadal dość łatwy sposób ataku, dlatego hakerzy nie zmienili jeszcze swoich metod.