В мае мы отчет об уязвимостях нулевого дня, подготовленный командой Google Project Zero. Тогда была обнародована статистика за 2021 год, и в целом специалисты по безопасности Google планируют и далее выпускать годовые отчеты. Но на прошлой неделе была внеочередная публикация за 2022 год, с данными по состоянию на 15 июня. Повод, конечно же, интересный: специалисты Project Zero хотели показать, что 9 из 18 уязвимостей нулевого дня ранее уже были пропатчены в каком-то виде.
В целом первое полугодие 2022 года принесло меньше уязвимостей типа zero-day: за прошлый год всего было найдено 58 критических багов, а за первое полугодие 2021 года — 34. Список уязвимостей Google Project Zero ведет к регулярно обновляемой . Чтобы попасть в нее, согласно определению zero-day, уязвимость должна активно эксплуатироваться в реальных атаках до выпуска соответствующего патча. В новой публикации компания Google приводит и рекомендации по «правильному» исправлению ошибок в ПО.
В список «повторно эксплуатируемых» уязвимостей попали следующие:
- Уязвимость в Windows , приводящая к эскалации привилегий и являющаяся вариантом обнаруженной в прошлом году .
- Уязвимость в Apple iOS , являющаяся вариантом прошлогодней . По мнению Google Project Zero, здесь эксплуатируется один и тот же баг, патч для которого в 2021 году был неполным.
- Несколько спорная связь была обозначена между уязвимостями (aka Follina) и . Эти уязвимости относятся к разным компонентам Windows, в первом случае это движок MSHTML, во втором — сервис Microsoft Support Diagnostic Tool. Общим для них является способ эксплуатации через «подготовленные» документы Microsoft Office. В отчетах экспертов «Лаборатории Касперского» (для "" уязвимости и для ) подробно описывается типичный метод эксплуатации, а один из типовых вердиктов защитных решений «Лаборатории Касперского» — общий для обоих багов.
- Уязвимости в движке Javascript в браузере Chromium — и . По мнению Мэдди Стоун, представителя Google Project Zero, здесь имели место патчи, закрывающие конкретный путь эксплуатации, но не ключевую уязвимость. В результате атакующие находили иной способ добраться до недолеченной ошибки в коде.
- Другой вариант возвращения уязвимости показан на примере проблемы в браузерном движке WebKit. Эксплуатируемый zero-day был закрыт еще в 2013 году, но патч 2016 года вернул его обратно. Об этом у Project Zero есть отдельная . Аналогичная ситуация произошла с уязвимостью в Windows (также известна как PetitPotam, позволяет перехватить управление контроллером домена), которую уже закрывали в 2021 году под идентификатором .
Рекомендации команды Project Zero соответствуют характеру «повторов». Хотя при обнаружении активной атаки проще всего закрыть известный вектор эксплуатации, желательно все же найти первопричину. Иначе есть риск, что до ошибки в коде доберутся иными путями. Пример уязвимости Follina и бага в движке MSHTML показывает, что нужно исследовать обнаруженный паттерн атаки, чтобы исключить эксплуатацию других уязвимостей через ту же «точку входа». Если уязвимость обнаружил white-hat-исследователь, рекомендуется обсудить с ним метод решения проблемы, убедиться, что он работает для всех возможных сценариев. Наконец, предлагается идея систематизации знаний об эксплойтах, так чтобы в будущем можно было превентивно исправлять ошибки в коде — если заранее знать о том, что с наибольшей вероятностью будет атаковано. Здесь Google Project Zero вновь говорит об открытом обмене информацией между исследователями.
В публикации Google Project Zero хорошо сформулирован смысл работы по поиску zero-day. Обнаружение рабочего эксплойта, о котором разработчик решения может быть даже не в курсе, это самый плохой сценарий для атакующего. Своевременное закрытие эксплуатируемых уязвимостей повышает стоимость атаки и улучшает защищенность потребителей и бизнеса. Новые данные показывают, что важно не только обнаружение атак, но и исправление ошибок с первого раза.
Что еще произошло:
Платформа для ответственного раскрытия уязвимостей HackerOne о работе инсайдера, который «сливал» непубличный обмен информацией об уязвимостях на сторону. Точнее, он пытался продать информацию о багах разработчикам ПО еще раз, вне платформы. См. также подробный пересказ истории .
Разработчики платформы Jenkins опубликовали об уязвимостях в 25 плагинах.
Подробный отчет об уязвимостях в драйверах для графики Intel в Mac OS, которые могли использоваться для сценария «побега из песочницы» браузера Safari.
Специалисты «Лаборатории Касперского» опубликовали вредоносного модуля для веб-сервера Microsoft IIS, используемого в таргетированных атаках на бизнес. Еще одно рассказывает о деятельности ранее неизвестной APT-группировки ToddyCat.
