Google Project Zero ghi nhận 2021 là năm kỷ lục cho lỗ hổng zero-day

Google Project Zero ghi nhận năm 2021 là "năm kỷ lục cho lỗ hổng zero-day" với 58 lỗ hổng bảo mật đã được phát hiện và tiết lộ, tăng gấp hơn hai lần so với mức tối đa trước đó: 28 khai thác zero-day được phát hiện vào năm 2015 và 25 khai thác zero-day được phát hiện vào năm 2020.

Nhà nghiên cứu bảo mật Maddie Stone của Google Project Zero cho biết: “Mức tăng lớn này do khả năng phát hiện và tiết lộ về lỗ hổng tăng lên”.

“Những kẻ tấn công khá thành công khi khai thác các loại lỗ hổng và sử dụng các kỹ thuật giống nhau”.

Nhóm bảo mật nội bộ của Google cho biết hầu hết các khai thác tương tự với các lỗ hổng đã biết và công khai trước đó, chỉ hai trong số đó có sự khác biệt rõ về kỹ thuật và sử dụng các lỗi logic để thoát khỏi sandbox.

Cả hai đều liên quan đến FORCEDENTRY, một khai thác zero-click iMessage  được cho là do công ty NSO Group của Israel thực hiện.

Phân tích dựa trên nền tảng của những khai thác cho thấy hầu hết các lỗ hổng bắt nguồn từ Chromium (14), tiếp theo là Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) và Internet Explorer (4).

Trong số 58 zero-day được theo dõi trong năm 2021 có 39 lỗ hổng bảo mật bộ nhớ, liên quan đến các vấn đề use-after-free (17), out-of-bounds read and write (6), buffer overflow (4), và integer overflow (4).

13 trong 14 khai thác Chromium là lỗ hổng bảo mật bộ nhớ, hầu hết trong số đó liên quan đến vấn đề use-after-free.

Google Project Zero cũng chỉ ra việc thiếu các phát hiện về khai thác lỗ hổng zero-day trong các dịch vụ nhắn tin như WhatsApp, Signal và Telegram cũng như các thành phần khác, bao gồm CPU core, chip Wi-Fi, và cloud. "…liệu các khai thác này vắng mặt do thiếu phát hiện, không được tiết lộ hay do cả hai?"

"Khai thác zero-day sẽ khó khăn hơn nếu những kẻ tấn công không thể sử dụng lại các phương pháp và kỹ thuật đã được phát hiện và công khai trong hoạt động khai thác của chúng."

Nguồn: thehackernews.com.