2021 record jaar Zeroday kwetsbaarheden

Gepubliceerd op 29 december 2021 om 07:00

Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.

Wat is een zeroday?

Een zeroday is een actief aangevallen kwetsbaarheid waar op het moment van de aanval nog geen patch van de leverancier voor beschikbaar is. Dat maakt zeroday-aanvallen ook zo effectief, omdat elk systeem waarop de software draait in principe kwetsbaar is. Google doet al enige jaren onderzoek naar zeroday-aanvallen en houdt een overzicht van gevonden zerodaylekken bij.

CVE in 2021 Leverancier Product Type Omschrijving
CVE-2021-1647 Microsoft Windows Defender Memory Corruption Unspecified remote code execution in Windows Defender
CVE-2021-1782 Apple iOS Memory Corruption Unspecified kernel race condition
CVE-2021-1870 Apple WebKit Logic/Design Flaw Unspecified logic flaw in Webkit
CVE-2021-1871 Apple WebKit Logic/Design Flaw Unspecified logic flaw in Webkit
CVE-2021-21148 Google Chrome Memory Corruption Heap buffer overflow in V8
CVE-2021-21017 Adobe Reader Memory Corruption Heap-based buffer overflow
CVE-2021-1732 Microsoft Windows Memory Corruption Unspecified win32k escalation of privilege
CVE-2021-26855 Microsoft Exchange Server Logic/Design Flaw Server-side request forgery (SSRF)
CVE-2021-26857 Microsoft Exchange Server Logic/Design Flaw Insecure deserialization in the Unifed Messaging service
CVE-2021-26858 Microsoft Exchange Server Logic/Design Flaw Arbitrary file write
CVE-2021-27065 Microsoft Exchange Server Logic/Design Flaw Arbitrary file write
CVE-2021-21166 Google Chrome Memory Corruption Object lifecycle issue in audio
CVE-2021-26411 Microsoft Internet Explorer Memory Corruption Use-after-free in MSHTML
CVE-2021-21193 Google Chrome Memory Corruption Use-after-free in Blink
CVE-2021-1879 Apple WebKit UXSS Universal cross site scripting in Webkit
CVE-2021-28310 Microsoft Windows Memory Corruption Out-of-bounds write vulnerability in dwmcore.dll
CVE-2021-21206 Google Chrome Memory Corruption Use-after-free in Blink
CVE-2021-30661 Apple WebKit Memory Corruption Use-after-free in WebKit
CVE-2021-30665 Apple WebKit Memory Corruption Memory corruption related to state management in Webkit
CVE-2021-30663 Apple WebKit Memory Corruption Integer overflow in Webkit
CVE-2021-28550 Adobe Reader Memory Corruption Use-after-free
CVE-2021-1905 Qualcomm Android Memory Corruption Use-after-free in GPU
CVE-2021-1906 Qualcomm Android Logic/Design Flaw Improper error handling in GPU
CVE-2021-28663 ARM Android Memory Corruption Use-after-free in Mali GPU
CVE-2021-28664 ARM Android Memory Corruption Writes to read-only memory in Mali GPU
CVE-2021-31955 Microsoft Windows Logic/Design Flaw Kernel information disclosure in SuperFetch
CVE-2021-31956 Microsoft Windows Memory Corruption Heap-based buffer overflow in ntfs.sys
CVE-2021-33742 Microsoft Internet Explorer Memory Corruption Out-of-bounds write in MSHTML
CVE-2021-31199 Microsoft Windows ??? Unspecified enhanced crypto provider escalation of privilege
CVE-2021-31201 Microsoft Windows ??? Unspecified enhanced crypto provider escalation of privilege
CVE-2021-30551 Google Chrome Memory Corruption Type confusion in v8
CVE-2021-30554 Google Chrome Memory Corruption Use-after-free in WebGL
CVE-2021-33771 Microsoft Windows Memory Corruption Unspecified kernel escalation of privilege
CVE-2021-34448 Microsoft Internet Explorer Memory Corruption Unspecified scripting engine memory corruption
CVE-2021-31979 Microsoft Windows Memory Corruption Unspecified kernel escalation of privilege
CVE-2021-30563 Google Chrome Memory Corruption Type confusion in v8
CVE-2021-30807 Apple iOS Memory Corruption Memory corruption in IOMobileFrameBuffer
CVE-2021-36948 Microsoft Windows ??? Windows update medic service elevation of privilege
CVE-2021-40444 Microsoft Internet Explorer Logic/Design Flaw Unspecified remote code execution in MSHTML
CVE-2021-30860 Apple iOS Memory Corruption Integer overflow in CoreGraphics
CVE-2021-30858 Apple WebKit Memory Corruption Use-after-free
CVE-2021-30632 Google Chrome Memory Corruption Out of bounds write in V8
CVE-2021-30633 Google Chrome Memory Corruption Use-after-free in Indexed DB
CVE-2021-30869 Apple macOS Memory Corruption Type confusion in XNU
CVE-2021-37973 Google Chrome Memory Corruption Use-after-free in Portals
CVE-2021-37975 Google Chrome Memory Corruption Use-after-free in V8
CVE-2021-37976 Google Chrome Memory Corruption Information leak in Core
CVE-2021-41773 Apache HTTP Server Logic/Design Flaw Path traversal & file disclosure vulnerability
CVE-2021-30883 Apple iOS Memory Corruption A memory corruption iss in IOMobileFrameBuffer
CVE-2021-40449 Microsoft Windows Memory Corruption Use-after-free in Win32k
CVE-2021-38000 Google Chrome Logic/Design Flaw Insufficient validation of untrusted input in Intents
CVE-2021-38003 Google Chrome Memory Corruption Inappropriate implementation in V8
CVE-2021-1048 Google Android Memory Corruption Use-after-free in ep_loop_check_proc
CVE-2021-0920 Google Android Memory Corruption Race condition during SCM_RIGHTS garbage collection
CVE-2021-42292 Microsoft Office ??? Excel security feature bypass
CVE-2021-42321 Microsfot Exchange Server ??? Remote code execution

Recordaantal zerodaylekken in 2021

Dit jaar registreerde het techbedrijf een recordaantal zerodaylekken. Daarbij moet worden opgemerkt dat de lijst van Google niet compleet is. Zo ontbreken bijvoorbeeld zerodays in de software van leveranciers als Zoho, Pulse Secure en SonicWall waar het afgelopen jaar voor werd gewaarschuwd en zijn ook meerdere zerodaylekken in WordPress-plug-ins niet meegenomen.

Het vinden van kwetsbaarheden en ontwikkelen van een exploit om er misbruik van te maken is vaak een tijdsintensief proces. Aanvallers die zerodays inzetten kiezen dan ook vaak voor software die door meerdere potentiële doelwitten wordt gebruikt. Om te voorkomen dat de zeroday wordt ontdekt en de leverancier een update kan ontwikkelen, worden dergelijke kwetsbaarheden voor zover bekend niet massaal misbruikt. Vaak melden softwareleveranciers dan ook dat de gevonden zeroday op "beperkte schaal" bij "gerichte aanvallen" is ingezet.

Zeroday Kwetsbaarheden 2014 2021
Afbeelding – 309,0 KB 258 downloads

Het probleem met zerodays is dat er geen volledig zicht op is waardoor het daadwerkelijke aantal onbekend is, hoewel de zichtbaarheid volgens Google wel steeds beter wordt. De afgelopen jaren is het aantal ontdekte zerodays sterk gestegen, wat kan duiden op een betere zichtbaarheid of dat er meer zerodays worden ingezet. Ging het volgens Google in 2015 nog om 28 zerodaylekken, dit jaar registreerde het techbedrijf 57 zerodays, waarvan het allergrootste deel in de software van Apple, Google en Microsoft. De 57 gevonden zerodays zijn een ruime verdubbeling ten opzichte van vorig jaar, toen de teller op 25 uitkwam. Het aantal zerodaylekken maakt trouwens een klein deel uit van het totaal aantal gevonden kwetsbaarheden. Dat kwam dit jaar uit op zo'n 20.000.

Evolutie

De lijst van Google gaat terug tot 2014 en in de eerste jaren zijn met name Adobe Flash Player, Internet Explorer en Microsoft Office het doelwit. Flash Player is inmiddels uitgefaseerd en het aantal IE-gebruikers is nog maar een klein deel van wat het eerst was. Aanvallers hebben daarop gereageerd. Zo neemt sinds 2019 het aantal in Chrome en iOS gevonden zerodays toe.

Dit jaar kwam Apple met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Vorig jaar ging het nog om acht zerodays in Chrome en drie in iOS. In 2021 werd ook Android een doelwit voor zeroday-aanvallen met in totaal zeven zerodaylekken, tegenover nul in 2020 en één in 2019.

Microsoft kreeg volgens Google dit jaar met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Vorig jaar waren dat er nog zeven. Tien van de dit jaar aangetroffen zerodays bevinden zich in Windows en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Aanvallers gebruiken dergelijke kwetsbaarheden ook om bijvoorbeeld uit de sandboxbeveiliging van Chrome te breken.

De aanvallers en doelwitten

Een ander kenmerk van veel zeroday-aanvallen is dat softwareleveranciers over het algemeen niet melden tegen wie ze zijn gericht. Toch is dat niet altijd het geval. In maart van dit jaar kwam Microsoft met noodpatches voor vier aangevallen zerodaylekken in Exchange Server. Daarbij wees het techbedrijf ook een aanvaller aan. Volgens Microsoft waren de aanvallen namelijk uitgevoerd door een vanuit China opererende groep genaamd Hafnium.

In 2019 meldde het Canadese Citizen Lab, dat onderzoek doet naar zeroday-aanvallen, dat Oeigoerse en Tibetaanse groepen doelwit van zeroday-aanvallen waren geworden. Apple beschuldigde dit jaar de NSO Group van aanvallen tegen iPhone-gebruikers. De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren.

Meerdere zeroday-exploits die dit en voorgaande jaren werden ontdekt waren ontwikkeld door de NSO Group. Een van deze exploits die begin dit jaar werd gevonden omschreef Google als "één van de meest geavanceerde exploits" ooit gezien. Er zijn echter meer bedrijven zoals NSO Group actief. Veel van de zeroday-aanvallen lijken politiek gemotiveerd of betreffen (economische) spionage. Zo meldde dit jaar een collectief van mediaorganisaties en onderzoekers dat de Pegasus-spyware wereldwijd is ingezet tegen activisten, journalisten en politici.

Melden of verkopen

De meeste grote softwareleveranciers hebben inmiddels bugbountyprogramma's die onderzoekers belonen voor het melden van kwetsbaarheden, zodat die vervolgens kunnen worden opgelost. Er is echter ook een markt waarbij onderzoekers gevonden beveiligingslekken kunnen verkopen zonder dat de betreffende leverancier wordt ingelicht. Een bekend voorbeeld is het bedrijf Zerodium, dat 2,5 miljoen dollar betaalt voor een exploit waarmee Androidtelefoons zonder interactie op afstand zijn over te nemen. Een soortgelijke aanval voor iOS levert 2 miljoen dollar op.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Maak zerodays moeilijker

Eerder dit jaar stelde Maddie Stone van Google Project Zero dat onderzoekers nu een beter beeld hebben van de zeroday-aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet onder andere de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken.

Daarnaast moeten softwareleveranciers volgens Stone betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelde Stone. Eerder dit jaar meldde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Verder stelt Stone dat softwareleveranciers nauwer met onderzoekers moeten samenwerken over patches en patchontwerp voordat een update wordt uitgerold en er andere mitigatiemaatregelen aan de software worden toegevoegd.

Ook heeft Stone een boodschap voor gebruikers. Die moeten meer druk op hun softwareleveranciers uitoefenen en hen aansprakelijk houden voor het volledig verhelpen van kwetsbaarheden.

Softwareleveranciers aanspreken

Vorige week riep de PvdA (pdf) het kabinet op om softwareleveranciers aan te spreken op de veiligheid van hun producten en ervoor te zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates. Daarnaast wil de partij dat er wordt gekeken hoe leveranciers aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbare software.

Etsbaar Door Software Lessen Naar Aanleiding Van Beveiligingslekken Door Software Van Citrix
PDF – 37,7 KB 266 downloads

Bron: AusCERT, zerodium.com, security.nl

Zeroday gerelateerde artikelen 》

Meer info over zerodays 》

Bekijk alle vormen en begrippen 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over zerodays

2021 record jaar Zeroday kwetsbaarheden

Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.

Lees meer »

Alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten

Het HP Wolf Security bedreigingsonderzoeksteam vond bewijs dat cybercriminelen zich snel organiseren om een lek in software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers (zero-day) in te zetten op nieuwe kwetsbaarheden. Op 8 september onderschepte HP voor het eerst een stukje code (exploit) gericht op de kwetsbaarheid met de benaming CVE-2021-40444 die via misbruik van Microsoft Office-documenten het systeem infecteerde. Dit gebeurde een week voordat de patch werd vrijgegeven op 14 september.

Lees meer »