Общо 11 експлоатирани zero-day уязвимости са били открити и анализирани от екипа за сигурност на Google – Project Zero през първата половина на 2020 г.
0-day уязвимости през първата половина на 2020 г.
1. Firefox (CVE-2019-17026) – Използва се предимно в комбинация с друга уязвимост – CVE-2020-0674 и най-вече за таргетирани атаки. Закърпена във Firefox версия 72.0.1.Твърди се, че е от арсенала на хакерската група Dark Hotel.
2. Internet Explorer (CVE-2020-0674) – Тази, както и гореописаната Firefox 0-day уязвимост, е била използвана от държавно спонсорирана хакерска група (nation-state hacking group), известна като DarkHotel, за която се смята, че работи извън Корейския полуостров (не е ясно дали от Северна или Южна Корея). Двете уязвимости са били използвани за шпиониране на цели, разположени в Китай и Япония. Поради тази причина са открити от Qihoo 360 (китайски производител на антивирусни програми) и JPCERT (японският Център за действие при инциденти в информационната сигурност). Жертвите на тази кампания са били пренасочвани към уебсайт, който хоства експлоатиращ код (exploit kit), насочен към 0-day уязвимостта в Firefox или IE, след което инфектира машините с троянски кон Gh0st, осигурявайки отдалечен достъп и контрол на нападателите върху компютрите на жертвите. Уязвимостта е закърпена през февруари тази година като част от редовното закърпване на уязвимости от страна на Microsoft, което се провежда всеки втори вторник на месеца – Patch Tuesday.
3. Chrome (CVE-2020-6418) – Експлоатирането на тази 0-day уязвимост е било засечено от екипа на Google за анализ на кибератаки и заплахи (Goolge TAG), но не са публикувани подробности къде и кога. Закърпена в Chrome версия 80.0.3987.122.
4 и 5. Trend Micro OfficeScan (CVE-2020-8467 и CVE-2020-8468) – Двете 0-day уязвимости са в приложение на Trend Micro – OfficeScan XG. Твърди се, че са открити от екипа на компанията случайно, при разследването на друга узявимост, използвана за хакването на Mitsubishi Electric. Запушени са малко след откриването им.
6 и 7. Firefox (CVE-2020-6819 and CVE-2020-6820) – Подробности за атаките, при които са използвани тези две 0-day уязвимости във Firefox, все още не са публикувани. Въпреки това специалистите по информационна сигурност предполагат, че те може да са част от събития, свързани с по-голяма експлоатационна верига. Запушени са във Firefox версия 74.0.1.
8, 9 и 10. Три уязвимости в продукти на Microsoft, открити и репортнати от Google TAG. Все още не е ясно при какви атаки са използвани. Това са CVE-2020-0938, CVE-2020-1020 и CVE-2020-1027, които са закърпени в априлското издание на Microsoft Patch Tuesday.
11. Sophos XG Firewall (CVE 2020-12271) – Уязвимост в операционната система SFOS позволява изпълнение на зловреден код върху хардуерните и виртуални устройства Sophos XG. Потенциално засегнати са всички устройства с достъпен от интернет административен портал (HTTPS услуга) и/или потребителски портал (User Portal).
SophosLabs публикуваха резултатите от проведеното разследване относно тази атака (Asnarök). Статията включва пълна техническа информация, включително и Indicators of Compromise (IoC). Уязвимостта е закърпена във фърмуер версия SFOS 17.5 MR12.
За любителите на статистиката – екипът на Google Project Zero е публикувал
таблица, в която са поместени всички открити експлойти на уязвимости от 2014 г. насам.
0-day уязвимости през цялата 2019 г.
- А за любителите на историята: нека да разгледаме анализа на Google за откритите през миналата година уязвимости – общо 20 на брой, 11 от които са свързани с продукти на Microsoft.
- Две компании са открили половината от засечените 0-day уязвимости през 2019г. (Google са открили 7 и Kaspersky са открили 4).
- Не е засечено активно експлоатиране на 0-day уязвимости в Linux, Safari или macOS от 2014г., когато Google започна да води подобна статистика.
- За първи път през 2019г. е открита 0-day уязвимост в Android.
- Не всички 0-day уязвимости засягат последните налични (актуални) версии на ОС/софтуер.
- От Google подозират, че някои софтуерни вендори прикриват активно експлоатирани 0-day уязвимости, като ги определят като обикновени бъгове.
- Според тях, причината за повечето открити 0-day уязвимости в продукти на Microsoft е, че има повече налични инструменти, които са специализирани именно в откриване на подобни бъгове.
- Възможността за изолиране на приложения (app sandboxing) е една от причините, която спомага за трудното намиране на 0-day уязвимости в мобилните платформи.
- 63% от 0-day уязвимостите, открити през 2019 г., се дължат на дефекти и слабости в кода, свързани с операциите в паметта (memory corruption bugs). Същият процент важи и за 2020 г. Това също е в унисон със статистическите данни, публикувани от Microsoft и Google през 2019 г., където се твърди, че 70% от всички уязвимости в продуктите на Microsoft и в Chome са т.нар. „memory safety issues”. През 2020г. Този процент е 63% от всички уязвимости.
Заключение
Поддържането на up-to-date софтуер/ОС няма да премахне вероятността да бъдете експлоатирани от 0-day уязвимост, но ще намали риска това да се случи. А в света на информационната сигурност именно „риск“ е ключовата дума или казано по друг начин – каква е вероятността това да се случи?
Тъй като няма 100% сигурност, ние трябва да се стремим да държим този риск минимално нисък (или в допустими за нас граници).