Google е проследила рекорден брой неизвестни уязвимости през 2021 г.

Towfiqu barbhuiya, Unsplash.com

Google е проследила рекорден брой неизвестни уязвимости през 2021 г.

Александър Главчев
199 прочитания

© Towfiqu barbhuiya, Unsplash.com


58 уязвимости от типа "нулев ден" е открил екипът на Project Zero на Google през 2021 г. Това са уязвимости, за които към момента на публикуването им не са били разработени защитни механизми, давайки на разработчиците нула дни за реакция.

Допълва се, че това е най-високата подобна бройка, засечена от екипа, от началото на анализите в тази посока през 2014 г. Предишният рекорд е от 2015 г., когато са били проследени 28 експлойта.

"С този рекорден за уязвимости "нулев ден" за анализиране установихме, че методологията на атакуващите всъщност не се е променила много от предишни години", пише изследователят по сигурността в Google Мади Стоун в третия годишен преглед на Project Zero за експлоатирани програмни грешки.

Използването на познати подходи обаче не намалява рисковете. "Нападателите имат успех, използвайки същите модели на грешки и техники за експлоатация и преследват едни и същи методи атака", отбелязва още Стоун. Все пак се допълва, че големият брой на откритите пробойни от типа се дължи на засиленото откриване, а не толкова на увеличено използване на такива експлойти.

По думите ѝ все повече са съобщенията за уязвимости от типа "нулев ден", допълвайки че това е "много груба мярка". По същия начин повече доставчици забелязват вече експлоатирани уязвимости в собствените си продукти. Google например е открила седем такива в свои продукти миналата година, а Microsoft - десет.

От въпросните 58 пропуска в сигурността 56 са подобни на вече известни уязвимости; 39, или 67%, представляват модифициране на паметта и повечето от тях попадат в следните познати класове грешки:

  • 17 use-after-free()
  • 6 out-of-bounds read & write
  • 4 buffer overflow
  • 4 integer overflow.

Две от уязвимостите са се откроили. Първата от тях (CVE-2021-30860) беше от типа zero click iMessage, позволявайки на хакер да прониква в устройства, без да трябва потребителят да стартира зловредно приложение. Шпионският пакет Pegasus на израелската компания NSO Group използва именно тази пробойна за заразяване на телефони с цел извличане на данни.

Втората нова атака е била от типа sandbox escape, т.е. изпълняване на зловреден код от среда (sandbox), намираща се извън защитения периметър. Това се е случило в iOS и от Project Zero са го счели за "впечатляващо", тъй като този експлойт използва само логически грешки, без да се модифицират параметри в паметта за измъкване от въпросния "пясъчник".

Все пак анализаторите отчитат, че фактът, че почти всички от тези експлойти са използвали вече известни методи, означава, че киберпрестъпниците не работят по-усилено, за да злоупотребяват с такива уязвимости. Пояснява се, че причина за това е, че в голяма степен организациите не усложняват живота на престъпниците за тяхното откриване и използване.

В годишния доклад Стоун дава разбивка за 52 от експлойтите, които служителите на Google са проследили. Всички уязвимости от типа "нулев ден", открити от екипа от средата на 2014 до 2021 г. са изброени в тази таблица.

От тези 52 Chromium/Chrome (14) е с най-много грешки, следван от Windows (10), Safari (7), Android (7), Microsoft Exchange Server (5), Internet Explorer (4) и macOS/iOS (5).

58 уязвимости от типа "нулев ден" е открил екипът на Project Zero на Google през 2021 г. Това са уязвимости, за които към момента на публикуването им не са били разработени защитни механизми, давайки на разработчиците нула дни за реакция.

Допълва се, че това е най-високата подобна бройка, засечена от екипа, от началото на анализите в тази посока през 2014 г. Предишният рекорд е от 2015 г., когато са били проследени 28 експлойта.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК