Google Project Zero gọi năm 2021 là “năm kỷ lục cho 0 ngày hoang dã”, vì 58 lỗ hổng bảo mật đã được phát hiện và tiết lộ trong năm.
Sự phát triển này đánh dấu bước nhảy vọt hơn hai lần so với mức tối đa trước đó khi 28 lần khai thác 0 ngày được theo dõi vào năm 2015. Ngược lại, chỉ có 25 lần khai thác 0 ngày được phát hiện vào năm 2020.
Nhà nghiên cứu bảo mật Maddie Stone của Google Project Zero cho biết: “Mức tăng lớn trong 0 ngày hoang dã vào năm 2021 là do khả năng phát hiện và tiết lộ về 0 ngày này tăng lên, thay vì chỉ đơn giản là tăng mức sử dụng khai thác 0 ngày”.
Stone nói thêm: “Những kẻ tấn công đang thành công khi sử dụng các mẫu lỗi và kỹ thuật khai thác giống nhau và theo đuổi các bề mặt tấn công giống nhau.
Đội ngũ bảo mật nội bộ của gã khổng lồ công nghệ đã mô tả các cách khai thác tương tự như các lỗ hổng đã biết trước đó và công khai, chỉ có hai trong số đó khác biệt rõ rệt về độ phức tạp kỹ thuật và việc sử dụng các lỗi logic để thoát khỏi hộp cát.
Cả hai đều liên quan đến FORCEDENTRY, một khai thác iMessage không nhấp chuột được quy cho công ty phần mềm giám sát NSO Group của Israel. Stone nói: “Việc khai thác là một tác phẩm nghệ thuật ấn tượng.
Các nhà nghiên cứu của Google Project Zero, Ian Beer và Samuel Groß đã giải thích vào tháng trước. “Bài học nổi bật nhất là độ sâu của bề mặt tấn công có thể đạt được từ những gì hy vọng sẽ là một hộp cát khá hạn chế.”
Phân tích dựa trên nền tảng của những khai thác này cho thấy rằng hầu hết 0 ngày hoang dã bắt nguồn từ chromium (14), tiếp theo là Windows (10), Android (7), WebKit / Safari (7), Microsoft Exchange Server (5), iOS / macOS (5) và Internet Explorer (4).
Trong số 58 ngày hoang dã được quan sát vào năm 2021, 39 là lỗ hổng bảo mật bộ nhớ, với các lỗi bắt nguồn từ việc sử dụng sau khi không sử dụng (17), đọc và ghi ngoài giới hạn (6), lỗi tràn bộ đệm (4) và lỗi tràn số nguyên (4).
Cũng cần lưu ý rằng 13 trong số 14 ngày Chromium 0 là lỗ hổng bảo mật bộ nhớ, hầu hết trong số đó là lỗ hổng sử dụng sau khi không sử dụng.
Hơn nữa, Google Project Zero chỉ ra việc thiếu các ví dụ công khai nêu bật việc khai thác một cách hoang dã các lỗi 0 ngày trong các dịch vụ nhắn tin như WhatsApp, Signal và Telegram cũng như các thành phần khác, bao gồm lõi CPU, chip Wi-Fi, và đám mây.
“Điều này dẫn đến câu hỏi liệu 0 ngày này vắng mặt do thiếu phát hiện, thiếu công bố hay cả hai?”, Stone nói và nói thêm, “Là một ngành công nghiệp, chúng tôi không tạo ra 0 ngày khó khăn.”
“Về tổng thể, 0 ngày sẽ khó hơn khi những kẻ tấn công không thể sử dụng các phương pháp và kỹ thuật công khai để phát triển các hoạt động khai thác 0 ngày của chúng,” buộc chúng “phải bắt đầu lại từ đầu mỗi khi chúng tôi phát hiện một trong các hành vi khai thác của chúng.”
.
