Google’ın Project Zero’nun 2021’de izlediği 58 sıfır gün kusurundan sadece ikisi yeniydi. Diğerleri bilinen tekniklere dayanıyordu.
Bu, yazılım endüstrisi için hem iyi hem de kötü haber.
2021, Chrome, Windows, Safari, Android, iOS, Firefox, Office ve Exchange gibi yazılımlarda bulunan sıfır gün kusurlarının sayısı açısından rekor bir yıldı. Google Project Zero (GPZ) tarafından izlenen ve satıcıdan bir yama kullanıma sunulmadan önce kusurlar içeren yazılım.
Saldırganlar mevcut istismar yöntemlerini kullanmaya devam edebilir
58, GPZ’nin 2014’ün ortalarında sıfır günleri izlemeye başlamasından bu yana sıfırıncı gün açıklarının yıllık keşif ve tespit oranının iki katından fazla.
Ama bu pek bir şey ifade etmiyor. Google güvenlik araştırmacıları, bir hatanın tespit edilmemiş olmasının, kullanılmadığı anlamına gelmediğine dikkat çekiyor. Google, algılamanın geliştiğini savunuyor. Ancak aynı zamanda büyük bir bilgi boşluğu da vardı: 58 güvenlik açığının her birine karşı kullanılan istismarların yalnızca beş örneği vardı.
Sıfır gün kusur keşifleri saldırganlar için bir “başarısızlık” olsa da, GPZ Araştırmacısı Maddie Stone bir blog yazısında dikkat çekiyor “İstismar örneği veya örneğe dayalı ayrıntılı bir teknik açıklama olmadan, yararlanma yöntemini azaltmak yerine yalnızca güvenlik açığını düzeltmeye odaklanabiliriz”.
Bu, saldırganların yeni bir istismar yöntemi bulmak için tasarım ve geliştirme aşamasına geri dönmek zorunda kalmak yerine mevcut istismar yöntemlerini kullanmaya devam edebilecekleri anlamına geliyor, diye açıklıyor.
“Yenilikleri için sadece iki sıfır gün göze çarpıyordu”
Saldırganların aynı hata kalıplarını ve istismar tekniklerini başarıyla kullandığını ve aynı saldırı yüzeylerine saldırdığını belirtiyor. Bu tekrarlama, saldırganların yeni yöntemlere yatırım yapmaya zorlanmadığı anlamına gelir ve endüstri tarafından saldırganların artan maliyeti hakkında soru işaretleri doğurur.
“Yalnızca iki sıfır-gün, yenilikleriyle öne çıktı: biri, sömürünün teknik olarak karmaşıklığı ve diğeri, sanal alandan kaçmak için mantıksal hataların kullanılması için” diye belirtiyor.
GPZ, 2022’de ilerlemek için, Google’ın güvenlik ekibinin Chrome için düzenli olarak yaptığı gibi, tüm satıcıların açıkları hata raporlarında açıklamayı kabul edeceklerini umuyor. Apple bu durumu ilk olarak 2021’de iOS için açıklamıştı.
Ayrıca, istismar örneklerinin veya bu istismarların ayrıntılı teknik açıklamalarının daha geniş çapta paylaşılmasını istiyor.
GPZ, Microsoft ve Google’a göre açık ara en yaygın kusur türü olan bellek bozulması güvenlik açıklarını azaltmaya daha fazla odaklanmak istiyor.
Maddie Stone, yılın 58 “0 gününün” %67’sinin veya %39’unun bellek bozulması güvenlik açıkları olduğunu belirtiyor.
GPZ’nin vardığı sonuç, endüstrinin 2021’de daha iyi tespit ve ifşa yoluyla bir miktar ilerleme kaydettiği yönünde, ancak Stone, “sektör olarak, 0 günleri (oluşturmayı) zorlaştırmıyoruz” diye ekliyor.
Açıkladığı gibi: “Amaç, istismarlarından birini tespit ettiğimiz her defasında saldırganları sıfırdan başlamaya zorlamak: tamamen yeni bir güvenlik açığı keşfetmeye zorlanıyorlar, yeni bir saldırı yüzeyinin öğrenilmesi ve analizine zaman ayırmaları gerekiyor. tamamen yeni bir sömürü yöntemi geliştirmeli.”
Kaynak : “ZDNet.com”