Volgens gegevens verzameld door het beveiligingsteam van Project Zero van Google, zijn er in de eerste helft van het jaar '11 zero-day kwetsbaarheden' misbruikt.
Hieruit blijkt dat zero-day-aanvallen onverminderd populaire aanvalsmethode gebleven zijn. Dat baart zorgen, nu veel medewerkers thuiswerken en daar lang niet altijd over dezelfde hoogwaardige security voorzieningen beschikken als op kantoor.
Het percentage zero-day-aanvallen in Nederland liet maand over maand een stijgende lijn zien. Bedroeg het aandeel in januari nog 39 procent, in juni was meer dan de helft van alle aanvallen een zero-day-aanval (56 procent).
Wat is een Zeroday?
Er zijn verschillende definities van een zero-daykwetsbaarheid. Meestal gaat het om een lek in de software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers of anderen die er misbruik van willen maken. Sommigen gebruiken de term ook om te verwijzen naar een kwetsbaarheid die wel publiek bekend is, maar nog niet gedicht. Zero-daykwetsbaarheden kunnen soms jarenlang verborgen zijn. Zo dichtten de makers van comprimeerprogramma WinRAR begin dit jaar nog een lek dat inmiddels negentien jaar oud is. Meer weten over Zerodays? Klik dan hier.
Google's bevindingen
Details over deze zero-days zijn verkregen uit een spreadsheet die wordt beheerd door beveiligingsonderzoekers van Google die het bedrijf eerder dit jaar openbaar maakte. De spreadsheet bevat interne statistieken van Google over 'in-the-wild zero-day' gebruik dat teruggaat tot 2014, toen het bedrijf deze statistieken begon bij te houden.
Hieronder een overzicht van de huidige zero-day kwetsbaarheden van dit jaar. Tevens ook de belangrijkste conclusies samengevat van het eerste Zero-Day Year in Review-rapport van Google, dat het bedrijf vorige week publiceerde, met details over '2019 zero-days' en hun oorzaken.
2020 Zerodays
1. Firefox (CVE-2019-17026)
Deze zero-day werd gebruikt als onderdeel van een combo met nog een zero-day. Zie hieronder.
Patched hier , in Firefox 72.0.1.
2. Internet Explorer (CVE-2020-0674)
Beide Firefox-zero-days hierboven vermeld zijn gebruikt door een nationale hack groep die bekend staat als 'DarkHotel', vermoedelijk opererend vanuit het Koreaanse schiereiland (onduidelijk of het uit Noord-Korea of Zuid-Korea komt). Beide zero-days zijn gebruikt om doelen in China en Japan te bespioneren, en daarom werden ze allebei ontdekt door Qihoo 360 (Chinese antivirus-maker) en JPCERT (het Japanse Computer Emergency Response Team).
Slachtoffers van deze campagne werden doorgestuurd naar een website waar ze de Firefox of IE zero-day zouden krijgen, en vervolgens werden ze besmet met de Gh0st trojan voor externe toegang.
Patched hier , in de Microsoft februari 2020 Patch Tuesday.
3. Chroom (CVE-2020-6418)
Deze zero-day werd ontdekt door de Threat Analysis Group van Google en details over de aanvallen waarbij deze werd gebruikt werden nooit vrijgegeven.
Patched hier , in Chrome versie 80.0.3987.122.
4. & 5. Trend Micro OfficeScan (CVE-2020-8467 en CVE-2020-8468)
Beide zero-days zijn intern ontdekt door medewerkers van Trend Micro. Er wordt aangenomen dat de zero-days werden ontdekt terwijl Trend Micro een zero-day van 2019 onderzocht in hetzelfde product dat werd gebruikt om Mitsubishi Electric te hacken .
Patched hier .
6. & 7. Firefox (CVE-2020-6819 en CVE-2020-6820)
Details over de aanvallen waarbij deze twee Firefox-zero-days zijn gebruikt, zijn nog niet vrijgegeven, hoewel beveiligingsonderzoekers suggereerden dat deze deel zouden kunnen uitmaken van een grotere exploitkit.
Patched hier , in Firefox 74.0.1.
8. & 9. & 10. (CVE-2020-0938, CVE-2020-1020 en CVE-2020-1027)
Alle drie bugs zijn ontdekt en gerapporteerd aan Microsoft door Google TAG, en net als de meeste Google TAG-ontdekkingen zijn er nog geen details over de aanvallen vrijgegeven.
Hier , hier en hier gepatcht in de Microsoft April 2020-patch dinsdag.
11. Sophos XG Firewall (CVE 2020-12271)
Een groep hackers ontdekte eerder dit jaar een zero-day in XG, een eersteklas firewall product ontwikkeld door het Britse beveiligingsbedrijf Sophos. Door de zero-day, een SQL-injectie in het beheer paneel van de firewall, konden hackers de Asnarok-achterdeur op geïnfecteerde systemen plaatsen . In een onderzoek zei Sophos dat hackers probeerden de Ragnarok-ransomware op geïnfecteerde hosts te implementeren zodra de zero-day het nieuws haalde, maar het bedrijf zegt dat het de meeste pogingen heeft geblokkeerd.
Patched hier .
Analyse van Zerodays uit 2019
Laten we, naast de zerodays van dit jaar, eens kijken naar de analyse van Google van de zerodays van vorig jaar.
Hieronder de belangrijkste conclusies van Google uit het rapport Zero-Day Year in Review van 2019 , waarin grondig werd gekeken hoe beveiligingsbedrijven zero-days ontdekken, welke softwareproducten het meest worden getroffen, waarom en wat de belangrijkste oorzaken zijn voor de meeste zero-days.
- In 2019 zegt Google dat het '20 zerodays' heeft gedetecteerd.
- Elf van de 20 zero-days hadden gevolgen voor Microsoft-producten.
- Twee bedrijven ontdekten de helft van alle zerodays van 2019 (Google ontdekte er 7 en Kaspersky vond er 4).
- Er zijn sinds 2014, toen Google deze statistiek begon bij te houden, geen actief benutte zero-days gevonden in Linux, Safari of macOS.
- 2019 was het eerste jaar waarin een Android-zero-day werd ontdekt.
- Niet alle zero-days hadden invloed op de nieuwste versie van het besturingssysteem / de software.
- Google vermoedt dat sommige softwareleveranciers zich actief verbergen voor zero-days als alledaagse bugfixes.
- Google zegt dat er een voorkeur is voor detectie ten opzichte van Microsoft, omdat er meer beveiligingstools zijn die gespecialiseerd zijn in het detecteren van Windows-bugs.
- 63% van de 0-days-kwetsbaarheden in 2019 waren bugs met geheugenbeschadiging (hetzelfde cijfer van 63% is ook van toepassing op de zerodays van 2020. Dit is ook in overeenstemming met de statistieken die door Microsoft en Google in 2019 zijn vrijgegeven, beide beweren dat 70% van alle Microsoft-beveiliging bugs en 70% van alle Chrome-kwetsbaarheden geheugen veiligheidsproblemen zijn) (in 2020, 63% van alle ).
Google geeft aan elk jaar een jaarlijks 'Zero-Day Year in Review-rapport' te publiceren.