Google Project Zero, 2021’i “vahşi 0 günler için rekor yıl” olarak nitelendirdi. 58 güvenlik açığı yıl boyunca tespit edilmiş ve ifşa edilmiştir.
Geliştirme, 2015’te 28 0 günlük istismarın izlendiği önceki maksimum değerden iki kat daha fazla bir sıçramaya işaret ediyor. Buna karşılık, 2020’de sadece 25 0 günlük istismar tespit edildi.
Google Project Zero güvenlik araştırmacısı, “2021’de vahşi 0 günlerdeki büyük artış, 0 günlük açıkların artan kullanımından ziyade bu 0 günlüklerin artan tespiti ve ifşasından kaynaklanmaktadır.” Maddie Taş dedim.
Stone, “Saldırganlar aynı hata kalıplarını ve istismar tekniklerini kullanarak ve aynı saldırı yüzeylerinin peşinden giderek başarılı oluyorlar” diye ekledi.
Teknoloji devinin kurum içi güvenlik ekibi, açıklardan yararlanmaları, önceki ve genel olarak bilinen güvenlik açıklarına benzer olarak nitelendirdi ve bunlardan yalnızca ikisi, teknik gelişmişlik ve sanal alandan kaçmak için mantık hatalarının kullanımı açısından önemli ölçüde farklıydı.
Her ikisi de KORUNMA ile ilgilidir, bir sıfır tıklamalı iMessage istismarı İsrailli gözetim yazılımı şirketi NSO Group’a atfedildi. Stone, “İstismar etkileyici bir sanat eseriydi” dedi.
Google Project Zero araştırmacıları Ian Beer ve Samuel Groß, sandbox kaçışının “yalnızca mantık hatalarını kullanmasıyla dikkat çekiyor” açıkladı geçen ay. “En çarpıcı paket, oldukça kısıtlı bir sanal alan olacağını umduğumuzdan erişilebilen saldırı yüzeyinin derinliğidir.”
Bu açıklardan yararlanmaların platform bazında bir dökümü, vahşi 0 günlerinin çoğunun Chromium (14), ardından Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server’dan geldiğini gösteriyor. (5), iOS/macOS (5) ve Internet Explorer (4).
2021’de gözlemlenen 58 vahşi 0 günden 39’u bellek bozulması güvenlik açıklarıydı ve hatalar ücretsiz kullanımdan sonra (17), sınır dışı okuma ve yazma (6), arabellek taşması (4) ve tamsayı taşması (4) kusurları.
Ayrıca, 14 Chromium 0 gününden 13’ünün bellek bozulması güvenlik açıkları olduğunu ve bunların çoğu, ücretsiz kullanım sonrası güvenlik açıkları olduğunu belirtmekte fayda var.
Daha ne, Google Projesi Sıfır WhatsApp, Signal ve Telegram gibi mesajlaşma servislerinin yanı sıra CPU çekirdekleri, Wi-Fi çipleri ve bulut gibi diğer bileşenlerdeki 0 günlük kusurların vahşi istismarını vurgulayan genel örneklerin eksikliğine dikkat çekti.
Stone, “Bu, 0 günlerinin tespit eksikliği, açıklama eksikliği veya her ikisi nedeniyle mi eksik olduğu sorusuna yol açıyor” dedi ve “Sektör olarak 0 günü zorlaştırmıyoruz” dedi.
“Genel olarak, saldırganlar 0 günlük açıklarını geliştirmek için genel yöntem ve teknikleri kullanamadıklarında,” 0 gün daha zor olacak ve onları “istismarlarından birini her tespit ettiğimizde sıfırdan başlamaya” zorlayacak.