谷歌零日漏洞分析发现 “检测偏差”

Simpson2020-08-13 09:40:38

7月底,谷歌网络安全项目Project Zero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。

2014年以来,谷歌Project Zero一直在追踪野生(非受控环境下)漏洞利用。去年,该项目发布电子表格,展示所追踪到的漏洞。

这首份“年度回顾”(Year in Review)报告显示,2019年有20个漏洞存在野生利用情况。不过,Project Zero指出,这些仅仅是业界发现的安全漏洞,去年新增零日漏洞利用的实际数量可能更多。

去年遭利用的漏洞波及苹果iOS、微软Windows和IE、谷歌Android和Chrome、Mozilla Firefox和趋势科技OfficeScan。

尽管20个缺陷中有11个影响的是微软产品(五倍于苹果和谷歌产品),但Project Zero指出,这一百分比表明微软产品是恶意黑客的主要目标,但占比如此之大也可能是由于“检测偏差”。

谷歌Project Zero研究员Maddie Stone解释道:“由于在其他平台出现之前,微软就一直都是黑客攻击的目标,针对微软产品的零日漏洞检测解决方案开发也已持续多年。而且除微软自身以外,微软生态系统还允许第三方部署零日漏洞检测解决方案。越多人使用各种检测手段探寻零日漏洞,就有越多零日漏洞会被发现。”

Stone还指出,在微软产品中发现的11个零日漏洞里,只有4个针对Windows 10用户,这也可能是检测偏差的一个指征。

研究人员问道:“旧版软件真的是微软Windows零日漏洞主要目标?还是说,我们不过是因为这些软件和漏洞利用技术存在时间最长,而更擅长检测此类漏洞?”

尽管遭利用的iOS和Android漏洞数量似乎较少,也没有漏洞利用影响Linux或macOS,但这未必意味着这几个平台就不是黑客的目标。相反,这一现象恰恰表明,安全行业应该重点检测针对上述操作系统的攻击。

另外,2019年的20个遭利用漏洞中,超过半数是谷歌和卡巴斯基发现的:谷歌威胁分析小组的Clément Lecigne发现了7个零日漏洞,卡巴斯基发现了4个。这一事实也表明了检测偏差的存在。

Stone指出:“如果整个全球安全行业中仅两家公司负责检测一年中超过半数的零日漏洞,我们就不得不担心我们的资源使用情况了。要保证我们能够检测大多数野生零日漏洞利用,安全行业还有很多工作要做。”

Stone还强调称,去年遭利用的漏洞中只有一个是供应商自己发现的(外部研究人员也独立发现了该漏洞)。这很令人惊讶,因为供应商应该更便于检测零日漏洞。

Stone表示:“这就引出了一个问题:具有最高访问权限的供应商安全团队是否并未将资源用于检测零日漏洞?还是说,内部安全团队确实在检测零日漏洞,只是不在内部发现当时选择公开?无论如何,这种做法并不可取。针对锁定的移动平台,这一状况就尤为令人担心了,因为外部研究人员实在难以进入这些平台检测漏洞利用。”

谷歌Project Zero的电子表格显示,2020年的列表已经包含11个遭利用的零日漏洞,其中包括影响Firefox、Internet Explorer、Chrome,趋势科技OfficeScan、微软Windows和Sophos XG防火墙的零日漏洞。

谷歌零日漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
7月底,网络安全项目Project Zero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。Stone还指出,在微软产品中发现的11个零日漏洞里,只有4个针对Windows 10用户,这也可能是检测偏差的一个指征。相反,这一现象恰恰表明,安全行业应该重点检测针对上述操作系统的攻击。这很令人惊讶,因为供应商应该更便于检测零日漏洞
据称,攻击者还利用了西部数据的SAP Backoffice实例,电子邮件以及从其他云服务窃取的文件。
宕机仅持续了50分钟,但阻止了全球数十亿用户访问Gmail和YouTube。该事件还影响了依赖Google Cloud Platform来计算资源的公司。表示,宕机是由于10月份对Google用户ID服务所做的更改,这是向新配额系统迁移的一部分。表示,尽管大多数服务可以快速自动恢复,但某些服务却具有“独特或持久的影响”。在周二发布的对其根本原因分析的更正中指出,“所有需要通过Google帐户登录的服务都会受到不同程度的影响。”
在Microsoft在9月24日的负责任披露后90天内未能解决该问题之后,Google专家发布了该漏洞的详细信息。该漏洞是由与趋势科技的零日活动合作的匿名用户于2019年12月报告给Microsoft的。2010年5月19日,ZDI发布了一份通报,该威胁参与者在名为“Operation PowerFall”的活动中利用了漏洞。被利用的CVE-2020-0986尚未确定。由Google Project Zero研究人员Maddie Stone发布的咨询。这个问题收到了一个新的CVE-2020-17008,微软可能会在1月份修复。
周二推出了适用于桌面的Chrome浏览器补丁,来解决在野外积极利用的高严重性零日漏洞。跟踪为CVE-2022-2856,该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞
事实上,微软在2021年7月1日到2022年6月30日期间,发出的最大单笔奖金达到20万美元,奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。今年,该公司还打算进一步引入新的研究挑战和高影响攻击场景。跟踪为CVE-2022-2856,该漏洞是关于对Intents中不可信输入验证不足的情况。
除了国家支持的黑客组织,勒索软件团伙和其他以求财为目的的攻击者也加入了未修复漏洞利用大军。
本月初曝光的Chrome zero day漏洞已被积极利用,但现已修复。“我们认为这些袭击具有高度的针对性”。在黎巴嫩发现的感染序列始于攻击者破坏一家新闻机构员工使用的网站,该网站用于从演员控制的域注入恶意JavaScript代码,该域负责将潜在受害者重定向到攻击服务器。Avast评估了收集的信息,以确保漏洞仅被交付给预期目标。
黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。
在最近的一个案例中,威胁分子利用这个未打补丁的漏洞来部署 SmokeLoader 恶意软件,以便投放其他恶意软件,比如 TrickBot。这两个漏洞于 2022 年 9 月首次被披露,据称被黑客利用了数月。微软证实,黑客们利用 ProxyNotShell 漏洞,在被攻击的 Exchange 服务器上部署了 China Chopper web shell 恶意脚本。
Simpson
暂无描述