截至2022年6月15日,谷歌已检测并披露了18个2022年在野外利用的零日漏洞,并发现至少有9个零日漏洞是之前修复过的漏洞的变体,至少有一半的零日漏洞可以通过更全面的修复和回归测试来预防。

除此之外,这些零日漏洞中有4个是2021年野外零日漏洞的变体,从最初的野外零日漏洞补丁仅仅过去了12个月,攻击者就带着漏洞变体出现了。这意味着在许多情况下,攻击并不那么复杂。相反,利用该漏洞威胁行为者能够通过不同的路径触发已知漏洞。

例如,最近发现的Windows平台的Follina漏洞CVE-2022-30190是MSHTML零日漏洞CVE-2021-40444的变体。另一个Windows漏洞CVE-2022-21882是去年没有正确修复的野外零日漏洞CVE-2021-1732的变体。

 

表1 零日漏洞及其相关变体

当人们想到零日漏洞利用时,通常认为这些漏洞利用技术非常先进,以至于没有希望捕获和阻止它们。然而事实并非如此,今年截至目前为止,至少一半的零日漏洞与先前的漏洞密切相关。2022年发现的许多野外零日漏洞是由于之前的漏洞没有完全修补造成的,例如:

Windows win32k(CVE-2022-21882)和Chromium属性访问拦截器漏洞(CVE-2022-1096),对概念验证漏洞利用的执行流程进行了修补,但没有解决根本原因问题,攻击者能够通过不同的路径触发原始漏洞。

WebKit和Windows PetitPotam漏洞,尽管最初的漏洞之前已经被修补,但有时候出现了退化,因此攻击者可以再次利用相同的漏洞。

iOS IOMobileFrameBuffer漏洞(CVE-2022-22587),通过检查大小是否小于某个数字来解决缓冲区溢出问题,但没有检查该大小的最小界限,是去年零日漏洞CVE-2021-30983的变体。

表2 2022在野外被利用的零日漏洞

2022年在野外被利用的漏洞影响了Apple iOS、Confluence、Chrome、Linux、WebKit以及Windows等产品。

谷歌在2021年检测到了58个野外零日漏洞,比此前2015年的最高值28个的两倍还多。谷歌认为,2021年野外零日漏洞的大幅增加是由于零日漏洞的检测和披露数量增加,并不仅仅是零日漏洞利用增加。攻击者在2021年使用的攻击方法和前几年没有太大变化,使用了相同的漏洞模式和攻击技术,并针对相同的攻击面。

在谷歌发现的58个零日漏洞中,有39个(67%)是内存损坏漏洞。在过去的几十年里,内存损坏漏洞一直是攻击软件的标准,并且仍然是攻击者取得成功的方式。在内存损坏漏洞中,大多数都是非常流行且知名的漏洞类别:17个释放后使用漏洞、6个越界读写漏洞、4个缓冲区溢出漏洞、和4个整数溢出漏洞。

Mandiant首席分析师James Sadowski表示,“我们发现的每一个零日漏洞都会增加对可能发生的情况的理解,并能够更好在相同或其他技术中发现类似的漏洞。看到的越多,就能检测到越多。”

一直以来民族国家黑客是利用零日漏洞的主要组织,但Mandiant研究发现,最近使用零日漏洞的威胁行为者约有三分之一是出于经济动机的网络犯罪分子。零日漏洞利用的增加以及各类型的威胁行为者引起了各方关注,也为安全行业提供了宝贵的学习机会。

勒索软件组织利用零日漏洞的数量和复杂程度都显著增加。勒索软件组织正在变得更加繁荣,因此有能力招募高技能人员或支付昂贵的服务费用。同时勒索软件领域的专业网络已经扩大。

例如UNC2447组织利用了SonicWall中存在的一个漏洞SombRAT后门。这是一个严重的SQL注入漏洞,允许攻击者访问用户名、密码和会话信息,用来登录未修补的SMA 100系列设备。

此外网络犯罪组织还会利用最近发现但尚未修补的漏洞。有时发现漏洞的研究人员会向供应商施加压力而发布漏洞PoC,为攻击者创造了时间窗口。

Sadowski表示,“此类事情未来可能会继续发生,因为网络犯罪团伙关注安全世界中发生的一切。恶意行为者可能会从以前的零日漏洞的公开披露和分析中学习,并可能利用这些研究来推动自己的漏洞分析和利用。”

当在野外检测到零日漏洞时,就是攻击者的失败。为了正确解决零日漏洞,谷歌研究人员建议平台安全团队和其他独立安全研究人员投资于根本原因分析、变体分析、补丁分析和漏洞利用技术分析。

根本原因分析。了解正在被利用的潜在漏洞,并试图了解该漏洞是如何被引入的。执行根本原因分析有助于确保修复解决潜在漏洞,而不仅仅是破坏概念验证。根本原因分析通常是成功进行变体和补丁分析的先决条件。

变体分析。寻找与报告的漏洞类似的其他漏洞,可能涉及在其他地方寻找相同的错误模式、更彻底地审核包含漏洞的组件、修改模糊器以了解他们以前没有发现漏洞的原因等。大多数研究人员同时发现多个漏洞。通过查找和修复相关变体,攻击者无法在原始漏洞修补后简单地“即插即用”新漏洞。

补丁分析。与根本原因漏洞相比,分析提议的或发布的补丁的完整性。鼓励供应商尽早与漏洞报告者分享漏洞解决计划,以便报告者可以分析补丁是否全面解决了漏洞的根本原因,以及供应商自己的内部分析。

漏洞利用技术分析。了解从漏洞中获得的原语以及如何使用它。虽然修补漏洞通常是行业标准,但缓解漏洞利用技术的发生频率并不高。虽然并非每种漏洞利用技术都能够始终得到缓解,但希望它将成为默认,而不是例外。为了使供应商和安全研究人员能够执行漏洞利用技术分析,需要更容易地共享漏洞利用样本。

由于零日漏洞攻击是利用尚未修补的漏洞,因此是网络攻击的“终极武器”。然而大多数系统遭受的网络攻击都是利用了已知的安全漏洞,并存在修复程序。部分受害者的网络安全状况不佳,组织应及时应用补丁来防止此类攻击行为。

虽然零日漏洞和攻击是极其严重的问题,但并不意味着不能缓解。即使没有针对特定零日漏洞的修补程序,严格的安全措施仍然可以降低遭受严重入侵的机会。组织及IT部门可以采取以下措施来保护系统:

深度防御。许多攻击行为是利用多个漏洞进行了一系列攻击。让补丁保持最新并让员工了解安全最佳实践可以打破这个链条。例如,数据中心服务器可能会遭受零日漏洞的影响,但如果攻击者无法突破最新防火墙或诱使用户下载附加到网络钓鱼电子邮件的木马,就无法将漏洞利用传递给该易受攻击的系统。

入侵防护。因为不知道零日攻击将采取何种形式,因此需要留意各种可疑活动。即使攻击者通过未知漏洞进入系统,当他们开始在网络中移动并可能泄露信息时,也会留下明显的痕迹。入侵检测和预防系统旨在发现此类活动,并且高级防病毒软件可能会根据其行为将代码与类似恶意软件挂钩,即使与任何现有签名都不匹配。

锁定网络。理论上任何设备或服务器都可能存在零日漏洞。网络基础设施使攻击者难以从一台计算机移动到另一台计算机,并且容易隔离受损系统,这有助于限制攻击造成的破坏。尤其是需要实施基于角色的访问控制,以确保渗透者无法轻易获得企业最有价值的资产。

数据备份。零日攻击有可能使某些系统脱机,或者损坏或删除数据。频繁备份能够确保快速从这种最坏的情况恢复。

参考资源:

【1】https://googleprojectzero.blogspot.com/2022/06/2022-0-day-in-wild-exploitationso-far.html

【2】https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=1662223764

【3】https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html

【4】https://www.csoonline.com/article/3665131/why-more-zero-day-vulnerabilities-are-being-found-in-the-wild.html

【5】https://www.csoonline.com/article/3284084/zero-days-explained-how-unknown-vulnerabilities-become-gateways-for-attackers.html

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。