Google Project Zeroセキュリティチームは、2021年を対象とした年次の0日間のエクスプロイトレポートを公開しました。また、この情報を2014年以降の過去のデータと比較しました。彼の分析は、この分野で多くの興味深いアイデアや質問につながりました。
まず、Google Project Zeroは2021年に58のゼロデイエクスプロイトを発見しました。これは、チームが2014年に数の追跡を開始して以来最も多いものです。また、2020年に発見されたゼロデイエクスプロイトは25のみであることに注意してください。これは、必ずしも意味するものではありません。攻撃者はより積極的で成功している。グーグルは、攻撃パターンと表面は、2、3の新しい0日を除いて、2021年にほとんど静的なままであったと言います、それで、記録的な高さは実際に検出と開示の増加によると信じています。
Googleは、Microsoft、Apple、Apache、およびネイティブのChromiumチームとAndroidチームが、2021年を通じて自社製品のセキュリティ情報の脆弱性を公開したことを称賛しました。また、QualcommおよびARM製品でも悪用が発見され、開示されたと述べましたが、残念ながら、詳細には説明されていません。サプライヤー自身の推奨事項で。Google Project Zeroは、ゼロデイエクスプロイトの数が多い可能性が高いと考えていますが、多くのベンダーが発見された脆弱性に関する情報を開示していないため、正確な数は不明です。
上記のように、ベンダーは自社製品で最大のゼロ日数を発見して開示しています。Project Zeroは、ベンダーが自社製品のテレメトリデータを最も多く持っているため、発見されたエクスプロイトに関する情報も公開している場合、チャートが急上昇する可能性があることを強調しています。
しかし、GoogleProjectZeroは奇妙な傾向に気づきました。ほぼすべてのゼロデイエクスプロイトは、よく知られたバグパターン、攻撃対象領域、およびエクスプロイトメカニズムを使用していました。これは、ゼロデイが攻撃者にとってまだ十分に難しいことではないことを意味します。なぜなら、それが真実である場合、攻撃者は新しい表面と攻撃パターンにさらに引き寄せられるからです。
最もゼロデイエクスプロイトが見つかったのは2021年のクロムで、そのうち14を占めています。それらの13はメモリ破損エラーでした。Apple WebKitで7つが発見され、明らかにされました。2021年まで、このソフトウェアでゼロデイが1つだけ明らかにされたことを知るのは興味深いことです。Internet Explorerは4日間ゼロでしたが、これは歴史的な傾向と一致しています。Google ProjectZeroのコメント:
私たちが野生でゼロデイを追跡し始めて以来、InternetExplorerは毎年かなり一貫したゼロデイ数を記録しています。Internet ExplorerのWebブラウザユーザーの市場シェアが引き続き低下しているにもかかわらず、2021年はこれまで追跡したInternetExplorerのゼロ日数で実質的に2016年と同じです。
では、市場シェアの変化にもかかわらず、なぜ実際のゼロ日数にほとんど変化が見られないのでしょうか。Internet Explorerは、ユーザーがInternet Explorerをインターネットブラウザーとして使用していない場合でも、Windowsコンピューターへの最初の侵入に対する攻撃対象領域です。0日数は前年とほぼ同じですが、対象コンポーネントとエクスプロイトの配信方法が変更されています。2021年に見られた4つのゼロ日のうち3つは、MSHTMLブラウザエンジンを対象としており、Web以外の手段で配信されました。代わりに、Officeドキュメントまたはその他のファイル形式を介してターゲットに配信されました。
Windowsでは100日が明らかになりましたが、2021年には20%のみがWin32kをターゲットにしていたのに対し、2019年は75%でした。これは、2019年のエクスプロイトが古いバージョンのWindowsをターゲットにしており、Microsoftがこの領域にパッチを適用したためであるとGoogleは説明しています。 Windows 10では、古いバージョンのWindowsのサポートが終了し、ユーザーベースが縮小しているため、攻撃対象領域として使用するのが少し難しくなっています。
最後に、7つのエクスプロイトがAndroidを標的とし、5つのエクスプロイトがMicrosoftを標的としています。Exchange Server、iOS用に4つ、macOS用に1つ。
グーグルはまた彼の報告に基づいてたくさんの興味深い質問を提起した。それらの中には、攻撃が失敗したため、またはベンダーがそれらを公開していないために、一部の製品に既知のゼロデイエクスプロイトがないことがありますか?それらに習熟したので、同じエラーパターンを見つけますか?58のゼロ日のうち5つだけが公開エクスプロイトのサンプルを持っていますが、どうすればもっとアクセスできますか?
これらすべての質問やその他の質問については、こちらの詳細なGoogleレポートで説明しています。今後、Project Zeroチームは、エクスプロイトの検出と開示を業界全体の標準ポリシーにし、エクスプロイトサンプルを公開し、メモリ破損のバグを減らす取り組みを強化することを提案しました。
コメントを残す