Если уязвимость используется, она, скорее всего, будет использоваться как zero-day или как старая ошибка безопасности, для которой у пользователей и компаний было достаточно времени для исправления.
Постоянные улучшения безопасности продуктов Microsoft, наконец, начинают приносить свои плоды, сообщил на прошлой неделе инженер по безопасности Microsoft.
Выступая на конференции по безопасности BlueHat в Израиле, инженер по безопасности Microsoft Мэтт Миллер сказал, что широко распространенная массовая эксплуатация недостатков безопасности в отношении пользователей Microsoft теперь редкость. Это исключение из правила, а не норма.
Миллер высоко оценил усилия компании по улучшению своих продуктов, добавив такие ориентированные на безопасность функции, как брандмауэр по умолчанию, защищенное представление в продуктах Office, DEP (предотвращение выполнения данных), ASLR (рандомизация расположения адресного пространства), CFG (Control Flow Guard), песочница для приложений и многое другое.
Эти новые функции значительно усложнили операции киберпреступности: поиск zero-day или надежных эксплойтов для недавно исправленных ошибок Microsoft, уменьшая количество масштабно эксплуатируемых уязвимостей.
Массовая эксплуатация уязвимости в конечном итоге все же происходит, но обычно спустя много времени после того, как Microsoft выпустила исправление и после того, как у компаний было достаточно времени для тестирования и развертывания исправлений.
Миллер сказал, что, когда уязвимости используются, они обычно являются частью целевых, а не массовых атак.
Например, в 2018 году 90 процентов всех zero-day атак, влияющих на продукты Microsoft, использовались как часть целевых атак. Это атаки, которые обнаруживаются и используются группами кибершпионажа национальных государств против стратегических целей, а не уязвимостей, обнаруженных группами киберпреступников.
Остальные 10 процентов попыток эксплуатации zero-day были не киберпреступниками, пытающимися заработать деньги, а людьми, разбирающими код для проверки концепции, пытающимися понять, что делает уязвимость, которую еще предстоит исправить.
«Сейчас редко можно встретить эксплойт не zero-day, выпущенный в течение 30 дней с момента появления патча», — добавил Миллер.
Эксплойты для уязвимостей как нулевого, так и ненулевого дня обычно появляются гораздо позже, потому что становится все сложнее и сложнее разрабатывать атакующие эксплойты для уязвимостей из-за всех дополнительных функций безопасности, которые Microsoft добавила в Windows и другие продукты.
Два графика в презентации Миллера прекрасно иллюстрируют это новое положение дел. Диаграмма слева показывает, как усилились усилия Microsoft по исправлению недостатков безопасности в последние годы, когда все больше и больше ошибок безопасности получают исправления (и идентификатор CVE).
С другой стороны, диаграмма справа показывает, что, несмотря на растущее число известных недостатков в продуктах Microsoft, все меньше и меньше этих уязвимостей попадают в арсенал хакерских групп и эксплуатации в реальных условиях в течение 30 дней после исправления.
Это показывает, что средства защиты Microsoft выполняют свою работу, создавая дополнительные препятствия на пути групп киберпреступности.
Если уязвимость используется, она, скорее всего, будет использоваться какой-либо действующей государственной группировкой киберпреступников как нулевой день, или как старая ошибка безопасности, для которой у пользователей и компаний было достаточно времени для исправления.
