Büyük yazılım satıcıları daha kapsamlı yamalar oluşturmuş ve daha fazla test yapmış olsaydı, bu yıl yararlanılan 18 sıfır gün hatalarının yarısı önlenebilirdi.
Bu, 2022’de Microsoft Windows, Apple iOS ve WebKit, Google’ın Chromium ve Pixel ve Google’ın Confluence sunucusunu etkileyen 18 sıfır gün hatası tespit eden Google Project Zero ekibinden araştırmacıların kararı.
En iyi istismarları eski çatlaklarda yapıyoruz
Project Zero, büyük yazılımlarda yalnızca sıfırıncı gün kusurları, saldırganlar tarafından bir düzeltme yapılmadan önce yararlanılan hatalar hakkında veri toplar. yazılımda keşfedilen tüm 0 günlük güvenlik açıklarını kapsamaz.
Ek olarak, Project Zero’ya göre, saldırganlar kısmi yamaları atlatmak için açıklarını basitçe değiştirdikleri için bu yıl yalnızca dört benzersiz sıfır gün kusuru oldu.
“2022’nin ilk altı ayında gözlemlediğimiz sıfır gün kusurlarının en az yarısı, daha kapsamlı yama ve regresyon testleri ile önlenebilirdi. Ayrıca, 2022’deki sıfır gün kusurlarından dördü, sıfır gün kusurlarının varyantlarıdır. 2021. İlk sıfır gününü düzelttikten ancak on iki ay sonra, saldırganlar orijinal hatanın bir çeşidiyle geri döndü” diye yazıyor. Project Zero üyesi Maddie Stone bir blog yazısında.
Sıfır gün kusurlarının en az yarısının “daha önce gördüğümüz hatalarla yakından ilişkili olduğunu” da ekliyor.
Bu özgünlük eksikliği, Stone ve Google’daki diğerlerinin yakın zamanda vurguladığı bir eğilimle uyumludur.
2021’de, Google Project Zero’nun saydığı son beş yılda olduğundan daha fazla 0 gün bulundu. Potansiyel olarak birkaç faktör rol oynuyor.İlk olarak, araştırmacılar saldırganlar tarafından sömürüldüklerini eskisinden daha iyi tespit edebilir. Öte yandan tarayıcıların kaynak kodları da işletim sistemleri kadar karmaşık hale geldi. Ayrıca, Flash Player gibi tarayıcı eklentilerinin ortadan kalkmasının ardından tarayıcılar doğrudan hedef haline geldi.
İncelenecek sektör uygulamaları
Bununla birlikte, endüstri genelinde algılama, ifşa etme ve yamalama geliştikçe, Maddie Stone daha önce endüstrinin “0 günü zorlaştırmaz”. Endüstrinin tüm güvenlik kusurlarını ortadan kaldırmasını istiyor.
Örneğin, 58 0day kusurunun %67’si bellek bozulması güvenlik açıklarıydı.
Chrome’un güvenlik ekibi, bellek kusurları için düzeltmeler üzerinde çalışıyor C++ ile yazılmış devasa tarayıcı kod tabanından kaynaklanırancak azaltıcı önlemler performans açısından bir maliyeti var. Chrome, C ve C++’dan daha iyi bellek güvenliği garantileri sunan Rust’ta yeniden yazılamaz.
Maddie Stone ayrıca Microsoft’un Windows ekibinin ve Google’ın Chrome ekibinin kısmi düzeltmeler sağladığına da dikkat çekiyor.
“2022 sıfır gün kusurlarının çoğu, önceki güvenlik açığının tam olarak yamalanmamasından kaynaklanıyor. , ancak temel neden ele alınmadı: saldırganlar geri dönmüş ve orijinal güvenlik açığını farklı bir yoldan tetiklemiş olabilir” dedi.
“WebKit durumunda ve Windows Petit Potamorijinal güvenlik açığı zaten düzeltilmişti, ancak bir noktada gerileyerek saldırganların aynı güvenlik açığını yeniden kullanmak”
Google Project Zero’nun 15 Haziran’a kadar takip ettiği 2022’de istismar edilen sıfır günlerin listesi:
- Windows win32k: CVE-2022-21882, CVE-2021-1732 (2021) varyantı;
- iOS IOMobileFrameBuffer: CVE-2022-22587, CVE-2021-30983 (2021) varyantı;
- Pencereler: CVE-2022-30190 (“Follina”), CVE-2021-40444 (2021) varyantı;
- Chromium mülkü erişim engelleyicileri: CVE-2022-1096, CVE-2016-5128, CVE-2021-30551 (2021) ve CVE-2022-1232 varyantı;
- Krom v8: CVE-2022-1364, CVE-2021-21195 varyantı;
- WebKit: CVE-2022-22620 (“Zombi”), ilk olarak 2013’te yama uygulanmış ancak 2016’da eski haline döndürülmüştür;
- Google Piksel: CVE-2021-39793 (CVE 2021 diyor, ancak kusur 2022’de açıklandı ve yamalandı), farklı bir alt sistemde benzer bir Linux kusurunun varyantı;
- AtlassianConfluence: CVE-2022-26134, CVE-2021-26084 varyantı;
- Pencereler: CVE-2022-26925 (“PetitPotam”), CVE-2021-36942 varyantı (gerileyen yama).
Kaynak : “ZDNet.com”