Aufstieg und Fall von 0day: Ein Jahresrückblick auf die Ausnutzung von 0day im Jahr 2022

Dies ist der vierte Jahresbericht von Google über 0day-Schwachstellen, die in freier Wildbahn ausgenutzt wurden [ 2021, 2020, 2019], der auf dem Halbjahresbericht 2022 aufbaut. Der Zweck dieses Berichts besteht nicht darin, jede einzelne Schwachstelle detailliert zu beschreiben, sondern die Schwachstellen über das gesamte Jahr hinweg zu analysieren und nach Trends, Lücken, Lehren und Erfolgen zu suchen.

Abstracts

Im Jahr 2022 wurden 41 Field 0days aufgedeckt und gemeldet. Das ist die zweithöchste Zahl seit Beginn der Überwachung Mitte 2014, aber weniger als die 69 im Jahr 2021. Während der Rückgang von 40% wie ein klarer Gewinn für die Zahlen für verbesserte Sicherheit aussieht, ist die Realität komplexer. einige unserer wichtigsten Erkenntnisse aus dem Jahr 2022 sind:

Aufgrund der langen Patching-Zeit funktioniert N Tage ähnlich wie 0 Tage bei Android. Im gesamten Android-Ökosystem gibt es mehrere Szenarien, in denen Benutzer über einen längeren Zeitraum keine Patches erhalten können. Anstelle einer 0-Day-Schwachstelle kann ein Angreifer eine N-Day-Schwachstelle nutzen, die wie eine 0-Day-Schwachstelle funktioniert.

Zero-Click-Exploits und neue Browser-Abschwächungen reduzieren Zero-Day-Schwachstellen im Browser. Viele Angreifer sind dazu übergegangen, Zero-Click- statt One-Click-Angriffe durchzuführen. Zero-Click-Angriffe zielen in der Regel auf Komponenten außerhalb des Browsers ab. Darüber hinaus wurden in allen wichtigen Browsern neue Schutzmechanismen implementiert, die das Ausnutzen von Schwachstellen erschweren und Angreifer möglicherweise dazu veranlassen, auf andere Angriffsflächen auszuweichen.

Bei mehr als 40% der 0day-Schwachstellen handelt es sich um Varianten von zuvor gemeldeten Schwachstellen. 17 der 41 Feld-0days ab 2022 sind Varianten von zuvor gemeldeten Schwachstellen. Damit setzt sich ein unangenehmer Trend fort, den wir bereits in unserem Rückblick 2020 und unserem Zwischenbericht 2022 erörtert haben. Mehr als 20% sind Varianten von Feld-0-Tagen vor 2021 und 2020.

Es kommt häufig zu Fehlerkonflikten.2022 Berichte über Angreifer, die dieselben Sicherheitslücken nutzen, häufen sich, und Sicherheitsforscher melden auch Sicherheitslücken, die später von Angreifern genutzt werden. Wenn eine "wilde" 0day-Schwachstelle gegen eine beliebte Verbraucherplattform entdeckt und behoben wird, steigt die Wahrscheinlichkeit, dass sie auch die Schwachstellen anderer Angreifer gefährdet.

Auf der Grundlage unserer Analyse des 0day 2022 würden wir uns wünschen, dass sich die gesamte Branche weiterhin auf die folgenden Bereiche konzentriert:

  1. Umfassendere und rechtzeitige Patches zur Bekämpfung von Varianten und n-day, die als 0-day verwendet werden.

  2. Weitere Plattformen folgen dem Beispiel des Browsers und veröffentlichen umfassendere Abhilfemaßnahmen, um die Ausnutzbarkeit der gesamten Klasse von Schwachstellen zu verringern.

  3. Die Transparenz und die Zusammenarbeit zwischen Herstellern und Sicherheitsverantwortlichen nimmt weiter zu, um technische Details auszutauschen und gemeinsam produktübergreifende Schwachstellenausnutzungsketten zu erkennen.

Die Zahlen.

Von den 41 Sicherheitslücken, die im Jahr 2022 entdeckt und veröffentlicht wurden, macht keine einen großen Prozentsatz aller entdeckten 0day-Schwachstellen aus. Sie sind relativ gleichmäßig über das Jahr verteilt: 20 in der ersten Jahreshälfte und 21 in der zweiten Jahreshälfte. Die Kombination dieser beiden Daten lässt auf häufigere und regelmäßigere Entdeckungen schließen. Wir haben auch festgestellt, dass die Zahl der Organisationen, die 0day in freier Wildbahn entdeckt haben, weiterhin hoch ist. Seit 2021 wurden 20 Organisationen von 69 entdeckten 0day-Schwachstellen erkannt, und im Jahr 2022 wurden 18 Organisationen von 41 0day-Ereignissen in freier Wildbahn erkannt. Es besteht die Hoffnung, dass die Zahl der Organisationen, die sich für die Erkennung von 0day-Schwachstellen engagieren, hoch bleibt, da wir so viele Menschen wie möglich brauchen, um dieses Problem zu lösen.

Im Jahr 2022 wurden 41 "field 0days" aufgedeckt und gemeldet, gegenüber 69 im Jahr 2021. Dies ist zwar ein deutlicher Rückgang gegenüber 2021, aber 2022 liegt immer noch solide an zweiter Stelle. Alle 0days, die wir für die Analyse verwendet haben, sind in dieser Tabelle aufgelistet.

Aufstieg und Fall von 0day: Ein Jahresrückblick auf die Ausnutzung von 0day im Jahr 2022

 

Aufstieg und Fall von 0day: Ein Jahresrückblick auf die Ausnutzung von 0day im Jahr 2022

0-Tage-Limit als Sicherheitsindikator

Die Anzahl der entdeckten und veröffentlichten 0days sagt nicht viel über den Stand der Sicherheit aus. Wir verwenden sie vielmehr als einen von vielen Indikatoren. Wir gehen davon aus, dass die Kombination aus Sicherheitsverbesserungen und -rückschritten dazu geführt hat, dass die Zahl der entdeckten und gemeldeten 0-Tage von 2021 bis 2022 um etwa 40% gesunken ist und dass die Zahl der 0-Tage im Jahr 2022 konstant über dem Durchschnitt liegt.

Sowohl positive als auch negative Veränderungen wirken sich auf den Anstieg und Rückgang der Zahl der 0days in freier Wildbahn aus. Daher können wir diese Zahl allein nicht verwenden, um festzustellen, ob wir im Kampf für die Sicherheit unserer Nutzer Fortschritte machen. Stattdessen verwenden wir die Zahl, um zu analysieren, welche Faktoren zu dem Ergebnis beigetragen haben könnten, und dann zu prüfen, ob diese Faktoren Bereiche des Erfolgs oder Bereiche sind, die angegangen werden müssen.

Beispiele für Faktoren, die zu einem Anstieg der Zahl der entdeckten und gemeldeten "in-the-wild 0days" führen:

Sicherheitsverbesserungen - Angreifer brauchen mehr 0days, um die gleiche Funktionalität zu erhalten

  • 0day schneller finden und beheben

  • Mehr Unternehmen geben bekannte 0day-Schwachstellen öffentlich bekannt

  • Hinzufügen eines Sicherheitsbereichs zur Plattform

Sicherheitsrückschritt - 0day ist leichter zu erkennen und auszunutzen

  • Keine Variantenanalyse der gemeldeten Schwachstellen

  • Ausbeutungstechniken wurden nicht abgeschwächt

  • Mehr ausnutzbare Schwachstellen in den Code aufgenommen als behoben

 

Beispiele für Faktoren, die zum Rückgang der Zahl der festgestellten und gemeldeten "in-the-wild 0days" beitragen:

Sicherheitsverbesserungen - 0day Erfordert mehr Zeit, Geld und Fachwissen, um für den Einsatz zu entwickeln

  • Weniger 0day-Schwachstellen, die ausgenutzt werden können

  • Jeder neue 0day erfordert die Entwicklung eines neuen Exploits.

  • Neue Schwachstellen erfordern die Erforschung neuer Angriffsflächen

Sicherheitsregression - Angreifer benötigen weniger 0days, um die gleiche Leistungsfähigkeit zu erhalten

  • Die Entdeckung von 0day in freier Wildbahn ist langsamer, so dass Bugs einen längeren Lebenszyklus haben.

  • Verlängerte Zeit für Benutzer zur Installation von Patches

  • Weniger ausgefeilte Angriffsmethoden: Phishing, Malware, N-Day-Angriffe sind ausreichend

 

Durch ein Brainstorming der verschiedenen Faktoren, die zu einem Anstieg oder Rückgang der Zahl führen könnten, konnten wir verstehen, was hinter den Zahlen steckt, und daraus Schlussfolgerungen ziehen. Die beiden Schlüsselfaktoren, die im Jahr 2022 zu einer überdurchschnittlich hohen Zahl von natürlichen 0day-Angriffen führen werden, sind: Transparenz der Anbieter und Varianten. Die kontinuierliche Arbeit der Hersteller an Erkennung und Transparenz ist ein klarer Gewinn, aber der hohe Prozentsatz an 0day-Varianten, die in freier Wildbahn eingesetzt werden können, ist nicht gut. Auf diese Varianten gehen wir im Abschnitt "Déjà vu deja vu" näher ein.

In ähnlicher Weise haben wir eine Reihe von Schlüsselfaktoren bewertet, die zu einem Rückgang der Zahl der natürlichen 0days von 2021 bis 2022 führen könnten. Zu den positiven Faktoren gehören weniger ausnutzbare Bugs, die zu Unterschieden zwischen dem, was viele Angreifer verwenden, und einander führen, und zu den negativen Auswirkungen gehören ausgefeilte Angriffsmethoden, die genauso effektiv sind wie 0day-Exploits, aber langsamer bei der Erkennung von 0days. Die Zahl der 0day-Exploits allein sagt nicht viel über den Zustand der Exploits in der freien Wildbahn aus, vielmehr sind es die verschiedenen Faktoren, die diese Zahl beeinflussen, aus denen man wirklich lernen kann. Wir werden diese in den folgenden Abschnitten näher beleuchten.

Brauche ich 0day für Android?

Im Jahr 2022 gab es im gesamten Android-Ökosystem eine Reihe von Fällen, in denen Upstream-Anbieter Patches für das Problem veröffentlichten, Downstream-Anbieter die Patches jedoch nicht akzeptierten und den Nutzern keine Korrekturen zur Verfügung stellten. Project Zero beschrieb einen dieser Fälle im November 2022 in seinem Blogbeitrag "Mind the Gap".

Diese Lücken zwischen vorgelagerten Anbietern und nachgelagerten Herstellern ermöglichen es, dass n-day (eine bekannte Sicherheitslücke) als 0-day fungieren kann, da die Benutzer keinen Standard-Patch zur Verfügung haben und ihre einzige Verteidigung darin besteht, das Gerät nicht mehr zu benutzen. Diese Lücken gibt es zwar in den meisten vor- und nachgelagerten Beziehungen, doch bei Android sind sie stärker ausgeprägt und länger anhaltend.

Dies ist ein guter Fall für einen Angreifer. Ein Angreifer kann eine bekannte n-Day-Schwachstelle ausnutzen, sie aber als 0-Day-Schwachstelle ausführen, weil sie für alle betroffenen Geräte gilt.CVE-2022-38181 ist ein Beispiel dafür, wie dies bei Android im Jahr 2022 geschieht, und ist eine Schwachstelle in der ARM Mali GPU. Die Schwachstelle wurde dem Android-Sicherheitsteam ursprünglich im Juli 2022 von Man Yue Mo, einem Sicherheitsforscher bei Github Security Labs, gemeldet. Das Android-Sicherheitsteam entschied daraufhin, dass es das Problem als "nicht behebbar" ansieht, da es "gerätespezifisch" sei. Das Android-Sicherheitsteam entschied daraufhin, dass es das Problem als nicht behebbar" ansieht, da es gerätespezifisch" ist. Android Security verwies das Problem jedoch an ARM, und im Oktober 2022 veröffentlichte ARM eine neue Treiberversion, die die Schwachstelle beseitigte, und im November 2022 entdeckte die TAG die Schwachstelle in freier Wildbahn. Obwohl ARM im Oktober 2022 eine korrigierte Treiberversion veröffentlichte, wurde die Schwachstelle von Android erst im April 2023 behoben, also sechs Monate nach der ersten Veröffentlichung durch ARM, neun Monate nach der ersten Meldung durch Man Yue Mo und fünf Monate nach der ersten Meldung, als festgestellt wurde, dass sie in freier Wildbahn aktiv ausgenutzt wird.

  • Juli 2022: Bericht an das Android-Sicherheitsteam

  • August 2022: Android-Sicherheit wird als "nicht behebbar" eingestuft und an ARM geschickt

  • Oktober 2022: Fehler von ARM behoben

  • November 2022: Entdeckung von Sicherheitslücken in freier Wildbahn

  • April 2023: aufgenommen in das Android Security Bulletin

Im Dezember 2022 entdeckte TAG eine weitere Exploit-Kette, die auf die neueste Version des Samsung Internet Explorer abzielte. Zu diesem Zeitpunkt lief die neueste Version des Samsung Internet Explorer auf Chromium 102, das sieben Monate zuvor im Mai 2022 veröffentlicht worden war. Als Teil dieser Kette konnten Angreifer zwei n-Day-Schwachstellen ausnutzen, die als 0-Day ausgeführt werden konnten: CVE-2022-3038 (gepatcht in Chrome 105 im Juni 2022) und CVE-2022-22706 im ARM Mali GPU-Kernel-Treiber. CVE-2022-22706 wurde im Januar 2022 gepatcht, und obwohl sie zur Ausnutzung in freier Wildbahn markiert war, konnten Angreifer sie 11 Monate später immer noch als 0-Day nutzen. Obwohl die Schwachstelle im Januar 2022 weithin ausgenutzt wurde, wurde sie erst im Juni 2023 in das Android Security Bulletin aufgenommen.

Diese n-Tage, die als 0-Tage fungieren, fallen in die Grauzone der Frage, ob sie als 0-Tage verfolgt werden sollen oder nicht. In der Vergangenheit haben wir sie manchmal als 0-Day gezählt: CVE-2019-2215 und CVE-2021-1048. Im Fall dieser beiden Schwachstellen wurden die Fehler im Upstream-Linux-Kernel behoben, aber es wurden keine CVEs gemäß dem Linux-Standard zugewiesen. Wir haben sie aufgenommen, weil noch nicht erkannt wurde, dass sie in Android gepatcht werden müssen Android gepatcht werden mussten, bevor sie allgemein bekannt wurden. Im Fall von CVE-2022-38181 wurde der Fehler zunächst an Android gemeldet, und ARM gab ein Sicherheitsbulletin für das Problem heraus, in dem darauf hingewiesen wurde, dass nachgeschaltete Benutzer die Patches anwenden müssen. Wir werden weiterhin versuchen, die "Grauzonen" dieses Fehlers zu entschlüsseln, freuen uns aber über Anregungen, wie wir sie verfolgen können.

Browser im Jahr 2021

Ähnlich wie bei den Gesamtzahlen sinkt die Zahl der entdeckten "in-the-wild 0days" gegen Browser von 2021 bis 2022 um 42%, von 26 auf 15. Wir gehen davon aus, dass dies die Bemühungen des Browsers widerspiegelt, Angriffe zu erschweren. Insgesamt hat sich das Verhalten der Angreifer vom Browser zu Zero-Hit-Angriffen auf andere Komponenten des Geräts verlagert.

 

Aufstieg und Fall von 0day: Ein Jahresrückblick auf die Ausnutzung von 0day im Jahr 2022

 

Fortschritte bei den wichtigsten Browser-Schutzmechanismen könnten sich auf die Nutzung anderer Komponenten als Ausgangsvektoren in der Exploit-Kette auswirken. Im Laufe des Jahres 2022 werden weitere Browser zusätzliche Schutzmechanismen gegen Exploits einführen und verbessern. Bei Chrome sind dies MiraclePtr, v8 Sandbox und libc++-Verbesserungen. Safari führte den Lockdown-Modus ein und Firefox eine feinkörnigere Sandbox. Ki Chan Ahn, Vulnerability Researcher und Exploit-Entwicklerin beim offensiven Sicherheitsanbieter Dataflow Security, erläuterte in ihrer Keynote auf der Zer0Con im April 2023, wie diese Arten von Abhilfemaßnahmen die Ausnutzung von Browser-Schwachstellen erschweren und eine Verlagerung auf andere Angriffsflächen bewirken.

 

Browser sind immer schwieriger auszunutzen, und die kontinuierliche Weiterentwicklung der Exploit-Bereitstellung in den letzten Jahren erklärt den Rückgang der Zahl der Browser-Bugs im Jahr 2022. In den Jahren 2019 und 2020 wird ein erheblicher Teil der entdeckten 0days in freier Wildbahn durch Watering-Hole-Angriffe erfolgen. Bei einem Watering-Hole-Angriff zielt ein Angreifer auf eine Gruppe von Personen ab, von denen er annimmt, dass sie eine bestimmte Website besuchen werden. Jeder, der die Website besucht, wird ausgenutzt und liefert die eventuelle Nutzlast (in der Regel Spyware). Im Jahr 2021 sehen wir häufig One-Click-Links als ursprünglichen Angriffsvektor. Sowohl Puddle-Angriffe als auch One-Click-Links nutzen den Browser als Ausgangsvektor auf dem Gerät.2022 Immer mehr Angreifer wenden sich 0-Click-Exploits zu, d. h. Exploits, die ohne Benutzerinteraktion ausgelöst werden können. Null-Klick-Angriffe zielen in der Regel auf andere Gerätekomponenten als den Browser ab.

 

Ende 2021 entdeckte Citizen Lab eine 0-Klick-Schwachstelle (CVE-2023-30860) in iMessage, die NSO in seiner Spyware Pegasus verwendete. Project Zero beschreibt die Schwachstelle in dieser zweiteiligen Blog-Post-Serie. Auch wenn 2022 keine 0-Klicks in freier Wildbahn entdeckt und veröffentlicht wurden, bedeutet das nicht, dass es keine Verwendung gibt. Wir wissen, dass mehrere Angreifer die 0-Click-Exploit-Kette genutzt haben und nutzen.

Zero Strikes sind schwer zu erkennen, weil:

  • Sie haben eine kurze Lebenserwartung.

  • Normalerweise gibt es keine offensichtlichen Anzeichen für ihre Anwesenheit

  • Viele verschiedene Komponenten können angegriffen werden, und die Anbieter sind sich nicht immer über alle Komponenten im Klaren, auf die aus der Ferne zugegriffen werden kann.

  • Wird direkt an das Ziel geliefert, nicht wie bei einem Pfützenangriff weithin verfügbar

  • Normalerweise nicht auf einer navigierbaren Website oder einem Server gehostet

 

Bei Ein-Klick-Exploits muss das Ziel auf einen sichtbaren Link klicken, um den Exploit auszuführen. Dies bedeutet, dass das Ziel oder das Sicherheitstool den Link erkennen kann. Der Link wird dann verwendet, um den Exploit auf einem navigierbaren Server zu hosten.

Andererseits zielen Zero-Hits in der Regel auf Code ab, der eingehende Anrufe oder Nachrichten verarbeitet, was bedeutet, dass sie oft vor dem Indikator ausgeführt werden können, der die eingehende Nachricht oder den eingehenden Anruf anzeigt. Dadurch wird auch ihre Lebensdauer und das Zeitfenster, in dem sie "live" entdeckt werden können, erheblich verkürzt. Es ist wahrscheinlich, dass Angreifer weiterhin auf Zero-Click-Exploits zurückgreifen werden, so dass wir uns als Verteidiger darauf konzentrieren müssen, wie wir die Benutzer vor diesen Exploits erkennen und schützen können.

Déjà vu: Komplettreparatur bleibt eine der größten Chancen

17 der 41 0days, die 2022 in freier Wildbahn gefunden wurden, waren Varianten von zuvor veröffentlichten Sicherheitslücken. Wir haben dies erstmals in unserem rückblickenden Bericht "Deja vu-lnerability" für das Jahr 2020 veröffentlicht, in dem wir feststellten, dass 25% der 0days, die seit 2020 in freier Wildbahn gefunden wurden, Varianten von zuvor veröffentlichten Fehlern waren. Diese Zahl steigt weiter an, möglicherweise aufgrund von:

  • Die Verteidiger werden immer besser darin, Varianten zu erkennen, die

  • Die Verteidiger haben sich bei der Erkennung von 0day-Varianten in freier Wildbahn verbessert.

  • Angreifer nutzen mehr Varianten aus, oder

  • Die Behebung der Schwachstellen ist nicht umfassend genug, so dass weitere Varianten existieren.

Die Antwort könnte eine Kombination aus allen oben genannten Faktoren sein, aber wir wissen, dass die Anzahl der 0day-Varianten, die von Benutzern ausgenutzt werden können, nicht abgenommen hat. Die Verringerung der Zahl der ausnutzbaren Varianten ist eine der größten Chancen für die Technologie- und Sicherheitsbranche und zwingt Angreifer dazu, härter an der Ausnutzung von 0day-Schwachstellen zu arbeiten.

Nicht nur sind mehr als 40%s 2020er Feld 0day-Varianten, sondern mehr als 20%s Fehler sind alle Varianten früherer Feld 0days: sieben im Jahr 2021 und einer im Jahr 2020. Die Tatsache, dass der 0day in freier Wildbahn gefangen wurde, ist ein Geschenk. Die Angreifer wollen nicht, dass wir wissen, welche Schwachstellen sie haben und welche Ausnutzungstechniken sie verwenden. Verteidiger müssen dieses Geschenk so weit wie möglich ausnutzen und es Angreifern so schwer wie möglich machen, 0day-Schwachstellen erneut auszunutzen. Dies beinhaltet:

  • Analysieren Sie den Fehler, um die eigentliche Ursache zu finden, und nicht nur die Art und Weise, wie der Angreifer ihn in diesem Fall ausgenutzt hat.

  • Finden Sie andere Orte, an denen derselbe Fehler auftreten kann

  • Prüfen Sie alle anderen Pfade, die zur Ausnutzung des Fehlers verwendet werden könnten

  • Vergleichen Sie den Patch mit der tatsächlichen Ursache und stellen Sie fest, ob es eine Lösung dafür gibt.

Wir betrachten einen Patch nur dann als vollständig, wenn er sowohl korrekt als auch umfassend ist. Ein korrekter Patch ist ein Patch, der den Fehler vollständig behebt, was bedeutet, dass der Patch keine Ausnutzung der Schwachstelle mehr zulässt. Ein umfassender Patch behebt den Fehler überall dort, wo er behoben werden muss, und deckt alle Varianten ab. Bei der Ausnutzung einer einzelnen Schwachstelle oder eines Fehlers gibt es in der Regel mehrere Möglichkeiten, die Schwachstelle auszulösen, oder mehrere Pfade, um auf die Schwachstelle zuzugreifen. Allzu oft sehen wir, dass Anbieter nur die in einem Proof-of-Concept oder Exploit-Beispiel gezeigten Wege blockieren, anstatt die Schwachstelle als Ganzes zu beheben. In ähnlicher Weise melden Sicherheitsforscher oft Bugs, ohne die Funktionsweise des Patches weiter zu verfolgen und damit verbundene Angriffe zu untersuchen.

Die Vorstellung, dass unvollständige Patches es Angreifern erleichtern, 0day auszunutzen, mag zwar unangenehm sein, aber die Kehrseite dieser Schlussfolgerung kann uns Hoffnung geben. Wir haben einen klaren Weg, um 0day zu erschweren. Wenn mehr Schwachstellen korrekt und umfassend gepatcht werden, wird es für Angreifer schwieriger sein, 0day auszunutzen.

Wir haben alle identifizierten Schwachstellenvarianten in der nachstehenden Tabelle aufgeführt. Einen umfassenderen Einblick in die "in-the-wild"-Variante von 0-Day finden Sie in der Präsentation [Video, Folien] von der FIRST-Konferenz, in den Folien von Zer0Con, in der Präsentation [Video, Folien] von EffectiveCon CVE-2022-41073 und in diesem Blogbeitrag über CVE-2022-22620 Artikel.

Produkt

2022 ITW CVE

Variante

Windows win32k

CVE-2022-21882

cve-2021-1732 (2021 itw)

iOS IOMobileFrameBuffer

CVE-2022-22587

cve-2021-30983 (2021 itw)

WebKit "Zombie"

CVE-2022-22620

Der Fehler wurde ursprünglich im Jahr 2013 behoben, der Patch wurde 2016 zurückgesetzt.

Firefox WebGPU IPC

CVE-2022-26485

Fuzzing-Absturz im Jahr 2021 behoben

Android mit ARM Mali-GPU

cve-2021-39793 cve-2022-22706

cve-2021-28664 (2021 itw)

Sophos Firewall

CVE-2022-1040

cve-2020-12271 (2020 itw)

Chrom v8

CVE-2022-1096

cve-2021-30551 (2021 itw)

Chrom

CVE-2022-1364

CVE-2021-21195

Fenster "Petit Potam"

CVE-2022-26925

CVE-2021-36942 - Patch wurde regressiert

Fenster "Follina"

CVE-2022-30190

CVE-2021-40444

(2021 itw)

Atlassian Confluence

CVE-2022-26134

cve-2021-26084 (2021 itw)

Chromium-Intentionen

CVE-2022-2856

cve-2021-38000 (2021 itw)

Exchange SSRF "ProxyNotShell"

CVE-2022-41040

CVE-2021-34473 "ProxyShell".

Exchange RCE "ProxyNotShell"

CVE-2022-41082

CVE-2023-21529 "ProxyShell"

Internet Explorer JScript9

CVE-2022-41128

CVE-2021-34480

Windows "Druckspooler"

CVE-2022-41073

CVE-2022-37987

WebKit JSC

CVE-2022-42856

2016 Fehler aufgrund von Fehlversuchen entdeckt

Kein Copyright für Verwertung

Im Gegensatz zu vielen anderen Gütern in der Welt ist 0day selbst nicht endlich. Nur weil eine Person die Existenz einer 0day-Schwachstelle entdeckt und sie als Exploit entwickelt, hindert das andere nicht daran, sie ebenfalls unabhängig zu entdecken und in ihren Exploits zu verwenden. Die meisten Angreifer, die selbst Schwachstellen recherchieren und Exploits entwickeln, wollen nicht, dass andere dasselbe tun, da dies den Wert der Schwachstelle mindert und die Wahrscheinlichkeit erhöht, dass sie entdeckt und schnell behoben wird.

In den letzten Jahren haben wir einen Trend zu einer großen Anzahl von Fehlerkonflikten festgestellt, bei denen mehr als ein Forscher dieselbe Sicherheitslücke gefunden hat. Dies geschieht zwischen Angreifern, die Fehler an Anbieter und Sicherheitsforscher melden. Die Anzahl der verschiedenen Stellen, die unabhängig voneinander dieselbe Schwachstelle in Sicherheitsbriefings identifizieren, die Entdeckung desselben 0day in zwei verschiedenen Schwachstellen und sogar Gespräche mit Forschern auf beiden Seiten des Zauns deuten darauf hin, dass dies immer häufiger vorkommt.

Ein Anstieg der Zahl der Fehlerkonflikte ist ein Gewinn für die Verteidigung, da dies bedeutet, dass die Angreifer insgesamt weniger 0days nutzen. Die Begrenzung der Angriffsfläche und die Verringerung der Kategorien von ausnutzbaren Fehlern hilft den Forschern sicherlich, die gleichen Fehler zu finden, aber es kann auch dazu beitragen, dass mehr Sicherheitsforscher ihre Forschungsergebnisse veröffentlichen. Die Leute lesen dieselben Forschungsergebnisse und kommen auf eine Idee für ihr nächstes Projekt, aber auch auf ähnliche Ideen bei vielen anderen. Plattformen und Angriffsflächen werden zudem immer komplexer, so dass viel Zeit in den Aufbau von Fachwissen über neue Komponenten oder Ziele investiert werden muss.

Sicherheitsforscher und ihre Berichte über Schwachstellen tragen dazu bei, dieselben 0day-Schwachstellen zu beheben, die von Angreifern genutzt werden, auch wenn diese spezifischen 0day-Schwachstellen noch nicht in freier Wildbahn entdeckt worden sind, um die Schwachstelle des Angreifers zu kompromittieren. Wir hoffen, dass die Hersteller die Forscher weiterhin unterstützen und in ihre Bug Bounty-Programme investieren, da dies dazu beiträgt, dieselben Schwachstellen zu beheben, die möglicherweise auf Benutzer abzielen. Es zeigt auch, warum es für Sicherheitsforscher wichtig ist, sowohl bekannte natürliche Fehler als auch Schwachstellen gründlich zu patchen.

Was nun?

Wenn wir auf das Jahr 2022 zurückblicken, kommen wir zu dem Schluss, dass wir als Branche auf dem richtigen Weg sind, dass es aber noch viele Möglichkeiten gibt, von denen die größte die Reaktion der Branche auf die gemeldeten Schwachstellen ist.

  • Wir müssen den Nutzern schnell Korrekturen und Abhilfemaßnahmen zur Verfügung stellen, damit sie sich schützen können.
  • Wir müssen eine detaillierte Analyse durchführen, um sicherzustellen, dass die Ursache der Schwachstelle behoben wird.
  • Es ist wichtig, dass wir so viele technische Details wie möglich mitteilen.
  • Wir müssen die gemeldeten Schwachstellen nutzen, um daraus zu lernen und so viel wie möglich zu beheben.

Nichts davon ist einfach, und das ist für Sicherheitsteams, die in diesem Bereich arbeiten, keine Überraschung. Es erfordert Investitionen, die Festlegung von Prioritäten und die Entwicklung eines Patching-Prozesses, der ein Gleichgewicht zwischen dem schnellen Schutz der Benutzer und der Gewährleistung eines umfassenden Schutzes herstellt, und das kann manchmal stressig sein. Die erforderlichen Investitionen hängen von der jeweiligen Situation ab, aber wir sahen einige gemeinsame Themen in Bezug auf Mitarbeiter/Ressourcen, Anreizstrukturen, Prozessreife, Automatisierung/Tests, Veröffentlichungsrhythmus und Partnerschaften.

Wir haben in diesem Artikel eine Reihe von Maßnahmen beschrieben, die dazu beitragen, dass Fehler korrekt und vollständig behoben werden: Dazu gehören Analysen von Ursachen, Patches, Varianten und Techniken zur Ausnutzung von Sicherheitslücken. Wir werden auch weiterhin bei diesen Analysen helfen, aber wir hoffen und ermutigen die Sicherheitsteams der Plattformen und andere unabhängige Sicherheitsforscher, ebenfalls in diese Bemühungen zu investieren.

Abschließende Überlegungen: Das neue Exploit-Team von TAG

Wir blicken auf die zweite Hälfte des Jahres 2023 und sind gespannt auf das, was uns erwartet. Sie haben vielleicht bemerkt, dass unsere früheren Berichte im Project Zero Blog veröffentlicht wurden. Unser 0day-Feldprogramm ist von Project Zero zu TAG umgezogen, um die Expertise in den Bereichen Schwachstellenanalyse, Erkennung und Aufspüren von Bedrohungsakteuren in einem Team zu bündeln und so von mehr Ressourcen und letztendlich von TAG Exploits zu profitieren! Es wird noch mehr kommen, aber wir sind sehr gespannt darauf, was dies für den Schutz der Benutzer vor 0day-Angriffen und die Erschwerung von 0day bedeutet.

Quelle: https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

Originalartikel von xbear, bei Vervielfältigung bitte angeben: https://cncso.com/de/die-hohen-und-tiefen-von-0-days-year-in-html

Wie (0)
Vorherige 1 August 2023 am7:00
Weiter 3. August 2023 12:00 Uhr

Empfohlen