谷歌 Project Zero 安全团队表示,在今年上半年共检测到11个在野利用的0day 漏洞。

2019年,谷歌Project Zero 团队共检测到20个0day 漏洞,而今年检测到的数量很可能与此持平。

如下我们将列出上半年检测到的11个在野利用0day 并概述谷歌在上周发布的首份《0day 年度回顾报告》。该报告详述了谷歌在2019年检测到的0day及其起因。

2020上半年检测到的 0day

1、Firefox (CVE-2019-17026)

该漏洞和另外一个0day漏洞结合利用。该漏洞已在 Firefox 72.0.1 中修复。

2、IE浏览器 (CVE-2020-0674)

上述 Firefox 0day 和本漏洞均遭国家黑客组织 DarkHotel 利用。该黑客组织被指受朝鲜半岛(或是朝鲜或是韩国)支持。这两个0day 均被用于监控位于中国和日本的目标,是由奇虎360和日本计算机应急响应中心JPCERT 发现的。

遭攻击后,目标被重定向至某网站,从而遭Gh0st 远程访问木马的感染。

微软已在今年2月份的补丁星期二中修复该0day。

3、Chrome (CVE-2020-6418)

谷歌威胁分析 (TAG) 团队检测到这个遭在野利用的0day,且该攻击的详情尚未公开。该漏洞已在 Chrome 版本80.0.3987.122中修复。

4、第4个和第5个0day趋势科技 OfficeScan (CVE-2020-8467和 CVE-2020-8468

这两个0day 均由趋势科技员工发现,据称这两个 0day 是趋势科技调查同一产品中在2019年出现的一个0day 时发现的。2019年的这个0day 被用于攻击三菱电机。

这两个0day已被修复。

5、第6个和第7个0dayFirefox(CVE-2020-6819和CVE-2020-6820

虽然利用这两个0day发起的攻击详情尚未披露,然而研究人员认为可能是更大exploit 链的一部分。

这两个漏洞已在Firefox 74.0.1 中修复。

6、第8、第9和第10个0day(CVE-2020-0938、CVE-2020-1020和CVE-2020-1027

所有的这三个0day 均由谷歌 TAG 团队发现并报告。和TAG团队发现的其它漏洞一样,这三个0day的详情尚未发布。

微软已在4月份的补丁星期二中修复它们。

7、SophosXG Firewall (CVE-2020-12271)

今年早些时候,某黑客组织在英国安全公司Sophos 开发的一款顶级防火墙产品 XG 中发现了一个0day。该0day 位于该防火墙的管理面板中,是一个SQL 注入漏洞,可导致黑客在受感染系统中植入 Asnarok 后门。Sophos在调查中表示,该 0day 遭报道后,黑客试图在受感染主机上部署Ragnarok 勒索软件,不过该公司表示阻断了多数攻击。

该漏洞已修复。

2019年0day漏洞分析

谷歌发布《2019年0day年度回顾报告》,全面分析了安全企业披露0day 漏洞的方式、受影响最严重的软件产品及其原因以及多数0day 的起因。如下是报告的主要结论:

  • 2019年,谷歌表示共检测到20个0day。

  • 其中11个0day影响的是微软的产品。

  • 两家公司发现了一半的0day(谷歌发现了7个,卡巴斯基发现了4个)

  • 自2014年谷歌开始检测以来,Linux、Safari或macOS 中并未出现遭活跃利用的 0day。

  • 2019年首次出现安卓0day。

  • 并非所有的0day 均影响操作系统/软件的最新版本。

  • 谷歌认为某些软件厂商将遭活跃利用的0day 隐藏在常见的漏洞修复中。

  • 谷歌指出,对微软存在检测偏见,因为检测Windows 漏洞的安全工具更多。

  • 谷歌表示,由于移动平台采用了封闭式和应用程序沙箱方法,因此难以从中检测到0day。

  • 在2019年检测到的0day中,63%的漏洞是内存损坏漏洞(2020年上半年检测到的内存损坏0day漏洞比例也是63%。它和微软及谷歌在2019年发布的数据吻合,这两家公司均表示70%的微软漏洞和70%的Chrome 漏洞都是内存安全问题)(2020年这一比例是63%)。

谷歌计划之后每年发布《0day年度回顾报告》。

(1) 谷歌发布了自2014年以来的在野利用0day的内部数据,详见:

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=1869060786

(2) 谷歌发布的2019年0day年度回顾报告可见:

https://googleprojectzero.blogspot.com/2020/07/detection-deficit-year-in-review-of-0.html

原文链接

https://www.zdnet.com/article/google-eleven-zero-days-detected-in-the-wild-in-the-first-half-of-2020/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。