Google Project Zero detecteert een recordaantal zero-day-exploits in 2021

Proyecto cero de Google Nachrichten

Google Project Zero noemde 2021 een “recordjaar voor in-the-wild 0-dagen”, zoals 58 beveiligingsproblemen in de loop van het jaar zijn ontdekt en openbaar gemaakt.

De ontwikkeling markeert meer dan een dubbele sprong ten opzichte van het vorige maximum toen in 2015 28 0-day-exploits werden gevolgd. In 2020 werden daarentegen slechts 25 0-day-exploits gedetecteerd.

“De grote stijging van in-the-wild 0-days in 2021 is te wijten aan meer detectie en openbaarmaking van deze 0-days, in plaats van simpelweg toegenomen gebruik van 0-day-exploits”, Google Project Zero-beveiligingsonderzoeker Maddie Stone zei.

“Aanvallers hebben succes door dezelfde bugpatronen en exploitatietechnieken te gebruiken en achter dezelfde aanvalsoppervlakken aan te gaan”, voegde Stone eraan toe.

Het interne beveiligingsteam van de techgigant karakteriseerde de exploits als vergelijkbaar met eerdere en algemeen bekende kwetsbaarheden, met slechts twee van hen duidelijk verschillend voor de technische verfijning en het gebruik van logische bugs om uit de sandbox te ontsnappen.

Beiden hebben betrekking op GEDWONGEN, a zero-click iMessage exploit toegeschreven aan het Israëlische surveillancewarebedrijf NSO Group. “De exploit was een indrukwekkend kunstwerk”, zei Stone.

De ontsnapping uit de sandbox is “opmerkelijk vanwege het gebruik van alleen logische bugs”, Google Project Zero-onderzoekers Ian Beer en Samuel Groß uitgelegd vorige maand. “Het meest opvallende is de diepte van het aanvalsoppervlak dat bereikbaar is vanuit wat hopelijk een redelijk beperkte zandbak zou zijn.”

Een platformgewijze analyse van deze exploits laat zien dat de meeste van de in-the-wild 0-dagen afkomstig waren van Chromium (14), gevolgd door Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) en Internet Explorer (4).

Van de 58 in-the-wild 0-dagen die in 2021 zijn waargenomen, waren er 39 kwetsbaarheden voor geheugenbeschadiging, waarbij de bugs het gevolg waren van use-after-free (17), out-of-bounds lezen en schrijven (6), buffer overflow (4) en integer overflow (4) fouten.

Het is ook vermeldenswaard dat 13 van de 14 Chromium 0-dagen geheugencorruptie-kwetsbaarheden waren, waarvan de meeste op hun beurt gebruik-na-free-kwetsbaarheden waren.

Bovendien wees Google Project Zero op het gebrek aan openbare voorbeelden die wijzen op in-the-wild exploitatie van 0-day-fouten in berichtenservices zoals WhatsApp, Signal en Telegram, evenals andere componenten, waaronder CPU-kernen, Wi-Fi-chips, en de wolk.

“Dit leidt tot de vraag of deze 0-dagen afwezig zijn vanwege gebrek aan detectie, gebrek aan openbaarmaking of beide?”, zei Stone, eraan toevoegend: “Als industrie maken we 0-dagen niet moeilijk.”

“0-day zal moeilijker zijn als aanvallers over het algemeen niet in staat zijn om openbare methoden en technieken te gebruiken voor het ontwikkelen van hun 0-day exploits”, waardoor ze “elke keer dat we een van hun exploits detecteren helemaal opnieuw moeten beginnen.”

David
Rate author
Hackarizona