Google Project Zero phát hiện số lần khai thác lỗ hổng zero-day kỷ lục trong năm 2021

Google Project Zero gọi năm 2021 là “năm kỷ lục của lỗ hổng zero-day” khi mà 58 lỗ hổng bảo mật đã được phát hiện và xử lý trong năm.



Sự phát triển này đánh dấu bước nhảy vọt gấp hai lần so với mức tối đa trước đó khi 28 lần khai thác lỗ hổng zero-day được theo dõi vào năm 2015. Ngược lại, chỉ có 25 lần khai thác được phát hiện vào năm 2020.



Chuyên gia bảo mật Maddie Stone của Google Project Zero cho biết : “Mức tăng lớn của lỗ hổng zero-day vào năm 2021 là do khả năng phát hiện và tiết lộ về lỗ hổng này tăng lên, thay vì chỉ đơn giản là sự gia tăng của lỗ hổng này”.



Stone nói thêm: “Những tin tặc đang thành công khi lợi dụng các lỗi và kỹ thuật khai thác giống nhau và theo đuổi các bề mặt tấn công giống nhau”.



Đội ngũ bảo mật nội bộ của gã khổng lồ công nghệ đã mô tả các cách khai thác tương tự như các lỗ hổng đã biết trước đó. Chỉ có hai trong số đó có sự khác biệt rõ rệt về độ phức tạp kỹ thuật và trong việc sử dụng các lỗi logic.



Cả hai đều liên quan đến FORCEDENTRY , một lỗ hổng zero-click trong iMessage do công ty giám sát NSO Group của Israel phát hiện. Stone chia sẻ rằng: “Việc khai thác là một tác phẩm nghệ thuật ấn tượng”.



Các chuyên gia của Google Project Zero, Ian Beer và Samuel Groß đã giải thích vào tháng trước rằng: “Bài học nổi bật nhất là độ sâu của bề mặt tấn công từ những gì hy vọng sẽ là một hộp cát (sandbox) khá hạn chế”.



Phân tích dựa trên nền tảng của những lỗ hổng này cho thấy rằng hầu hết các lỗ hổng zero-day bắt nguồn từ Chromium (14), tiếp theo là Windows (10), Android (7), WebKit / Safari (7), Microsoft Exchange Server (5), iOS / macOS (5) và Internet Explorer (4).



Trong số 58 lỗ hổng zero-day được quan sát vào năm 2021, 39 trong số đó là lỗ hổng bảo mật bộ nhớ, với các lỗi bắt nguồn từ lỗ hổng use-after-free (17), đọc và ghi ngoài giới hạn (6), lỗi tràn bộ đệm (4) và lỗi tràn số nguyên (4).



Ngoài ra cũng cần lưu ý rằng 13 trong số 14 lỗ hổng zero-day trong Chromium là lỗ hổng bảo mật bộ nhớ. Hầu hết trong số đó là lỗ hổng use-after-free.



Hơn nữa, Google Project Zero chỉ ra việc thiếu các ví dụ công khai nhấn mạnh việc khai thác trên diện rộng các lỗ hổng zero-day trong các dịch vụ tin nhắn như WhatsApp, Signal và Telegram cũng như các thành phần khác, bao gồm lõi CPU, chip Wi-Fi và đám mây.



Stone cho biết thêm rằng: “Điều này dẫn đến câu hỏi rằng liệu lỗ hổng zero-day này thiếu vắng do việc thiếu phát hiện, không công bố hay cả là cả hai?. Với tư cách là một ngành công nghiệp, chúng tôi không tạo ra các lỗ hổng zero-day khó khăn”.



” Xét về tổng thể, lỗ hổng zero-day sẽ khó xuất hiện hơn khi những tin tặc không thể sử dụng các phương pháp và kỹ thuật công khai để phát triển các hoạt động khai thác của chúng. Điều này buộc chúng phải bắt đầu lại từ đầu mỗi khi chúng tôi phát hiện một trong các hành vi khai thác của chúng”.



Theo Thehackernews
The post Google Project Zero phát hiện số lần khai thác lỗ hổng zero-day kỷ lục trong năm 2021 appeared first on SecurityDaily .