image

Recordaantal zerodaylekken in software Apple, Google en Microsoft ontdekt

dinsdag 28 december 2021, 12:49 door Redactie, 12 reacties

Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zerodaylekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel blikt Security.NL terug op de zerodaylekken van 2021 en achterliggende ontwikkelingen.

Een zeroday is een actief aangevallen kwetsbaarheid waar op het moment van de aanval nog geen patch van de leverancier voor beschikbaar is. Dat maakt zeroday-aanvallen ook zo effectief, omdat elk systeem waarop de software draait in principe kwetsbaar is. Google doet al enige jaren onderzoek naar zeroday-aanvallen en houdt een overzicht van gevonden zerodaylekken bij.

Dit jaar registreerde het techbedrijf een recordaantal zerodaylekken. Daarbij moet worden opgemerkt dat de lijst van Google niet compleet is. Zo ontbreken bijvoorbeeld zerodays in de software van leveranciers als Zoho, Pulse Secure en SonicWall waar het afgelopen jaar voor werd gewaarschuwd en zijn ook meerdere zerodaylekken in WordPress-plug-ins niet meegenomen.

Zichtbaarheid

Het vinden van kwetsbaarheden en ontwikkelen van een exploit om er misbruik van te maken is vaak een tijdsintensief proces. Aanvallers die zerodays inzetten kiezen dan ook vaak voor software die door meerdere potentiële doelwitten wordt gebruikt. Om te voorkomen dat de zeroday wordt ontdekt en de leverancier een update kan ontwikkelen, worden dergelijke kwetsbaarheden voor zover bekend niet massaal misbruikt. Vaak melden softwareleveranciers dan ook dat de gevonden zeroday op "beperkte schaal" bij "gerichte aanvallen" is ingezet.

Image

Het probleem met zerodays is dat er geen volledig zicht op is waardoor het daadwerkelijke aantal onbekend is, hoewel de zichtbaarheid volgens Google wel steeds beter wordt. De afgelopen jaren is het aantal ontdekte zerodays sterk gestegen, wat kan duiden op een betere zichtbaarheid of dat er meer zerodays worden ingezet. Ging het volgens Google in 2015 nog om 28 zerodaylekken, dit jaar registreerde het techbedrijf 57 zerodays, waarvan het allergrootste deel in de software van Apple, Google en Microsoft. De 57 gevonden zerodays zijn een ruime verdubbeling ten opzichte van vorig jaar, toen de teller op 25 uitkwam. Het aantal zerodaylekken maakt trouwens een klein deel uit van het totaal aantal gevonden kwetsbaarheden. Dat kwam dit jaar uit op zo'n 20.000.

Software

De lijst van Google gaat terug tot 2014 en in de eerste jaren zijn met name Adobe Flash Player, Internet Explorer en Microsoft Office het doelwit. Flash Player is inmiddels uitgefaseerd en het aantal IE-gebruikers is nog maar een klein deel van wat het eerst was. Aanvallers hebben daarop gereageerd. Zo neemt sinds 2019 het aantal in Chrome en iOS gevonden zerodays toe.

Dit jaar kwam Apple met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Vorig jaar ging het nog om acht zerodays in Chrome en drie in iOS. In 2021 werd ook Android een doelwit voor zeroday-aanvallen met in totaal zeven zerodaylekken, tegenover nul in 2020 en één in 2019.

Microsoft kreeg volgens Google dit jaar met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Vorig jaar waren dat er nog zeven. Tien van de dit jaar aangetroffen zerodays bevinden zich in Windows en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Aanvallers gebruiken dergelijke kwetsbaarheden ook om bijvoorbeeld uit de sandboxbeveiliging van Chrome te breken.

Doelwitten

Een ander kenmerk van veel zeroday-aanvallen is dat softwareleveranciers over het algemeen niet melden tegen wie ze zijn gericht. Toch is dat niet altijd het geval. In maart van dit jaar kwam Microsoft met noodpatches voor vier aangevallen zerodaylekken in Exchange Server. Daarbij wees het techbedrijf ook een aanvaller aan. Volgens Microsoft waren de aanvallen namelijk uitgevoerd door een vanuit China opererende groep genaamd Hafnium.

In 2019 meldde het Canadese Citizen Lab, dat onderzoek doet naar zeroday-aanvallen, dat Oeigoerse en Tibetaanse groepen doelwit van zeroday-aanvallen waren geworden. Apple beschuldigde dit jaar de NSO Group van aanvallen tegen iPhone-gebruikers. De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren.

Meerdere zeroday-exploits die dit en voorgaande jaren werden ontdekt waren ontwikkeld door de NSO Group. Een van deze exploits die begin dit jaar werd gevonden omschreef Google als "één van de meest geavanceerde exploits" ooit gezien. Er zijn echter meer bedrijven zoals NSO Group actief. Veel van de zeroday-aanvallen lijken politiek gemotiveerd of betreffen (economische) spionage. Zo meldde dit jaar een collectief van mediaorganisaties en onderzoekers dat de Pegasus-spyware wereldwijd is ingezet tegen activisten, journalisten en politici.

Markt

De meeste grote softwareleveranciers hebben inmiddels bugbountyprogramma's die onderzoekers belonen voor het melden van kwetsbaarheden, zodat die vervolgens kunnen worden opgelost. Er is echter ook een markt waarbij onderzoekers gevonden beveiligingslekken kunnen verkopen zonder dat de betreffende leverancier wordt ingelicht. Een bekend voorbeeld is het bedrijf Zerodium, dat 2,5 miljoen dollar betaalt voor een exploit waarmee Androidtelefoons zonder interactie op afstand zijn over te nemen. Een soortgelijke aanval voor iOS levert 2 miljoen dollar op.

Image

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Toekomst

Eerder dit jaar stelde Maddie Stone van Google Project Zero dat onderzoekers nu een beter beeld hebben van de zeroday-aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet onder andere de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken.

Daarnaast moeten softwareleveranciers volgens Stone betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelde Stone. Eerder dit jaar meldde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Verder stelt Stone dat softwareleveranciers nauwer met onderzoekers moeten samenwerken over patches en patchontwerp voordat een update wordt uitgerold en er andere mitigatiemaatregelen aan de software worden toegevoegd.

Ook heeft Stone een boodschap voor gebruikers. Die moeten meer druk op hun softwareleveranciers uitoefenen en hen aansprakelijk houden voor het volledig verhelpen van kwetsbaarheden. Vorige week riep de PvdA het kabinet op om softwareleveranciers aan te spreken op de veiligheid van hun producten en ervoor te zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates. Daarnaast wil de partij dat er wordt gekeken hoe leveranciers aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbare software.

Image

Reacties (12)
28-12-2021, 13:14 door Anoniem
Gebruik van beveiligde offline media zoals MicroSD en 7z voor communicatie van vertrouwelijke informatie voorkomt dat zeroday lekken gebruikt kunnen worden.

De nederlandse universiteits standaard voor het delen van vertrouwelijke informatie is hier een voorbeeld van, zie bijvoorbeeld https://www.cyberhelden.nl/episodes/episode-34-35/
28-12-2021, 15:02 door Anoniem
Een aardige observatie is dat zulke bedrijven dievencommissies eisen van bouwers van apps, en ook alle betaaltransacties afromen. Vooral, maar niet uitsluitend, Apple.

Terwijl hun eigen spullen stijf staan van de zerodays. Terwijl de hele core van hun systemen al is gepikt van linux omdat ze zelfs dat al toegegeven het niet beter kunnen bedenken. Ze mogen wat goed is gewoon gebruiken en dan nog weten ze er een janboel van te maken.

Je kunt gewoon nu al stoppen met logos maken en merknamen. Want daar gaat men ook de humor niet meer van inzien. Laat staan nog vertrouwen in hebben.
28-12-2021, 15:14 door Anoniem
Wat mij opvalt is het hoge aandeel van Chrome en dat windows eigenlijk continue lek en uitgebuit is, maar daar maakt bijna niemand zich druk om. We gaan vrolijk verder.
28-12-2021, 15:36 door Anoniem
macOS is niet gebaseerd op Linux, maar op BSD, dus dat pikken is onzin. Toen Linus Linux nog moest schrijven werd er al gewerkt aan de voorloper van macOS, nl. NeXT.
28-12-2021, 17:18 door Anoniem
Door Anoniem: macOS is niet gebaseerd op Linux, maar op BSD, dus dat pikken is onzin. Toen Linus Linux nog moest schrijven werd er al gewerkt aan de voorloper van macOS, nl. NeXT.
En toch nog zo lek als een mandje...
28-12-2021, 17:30 door Anoniem
Door Anoniem: macOS is niet gebaseerd op Linux, maar op BSD, dus dat pikken is onzin. Toen Linus Linux nog moest schrijven werd er al gewerkt aan de voorloper van macOS, nl. NeXT.
Als 386BSD eerder was verschenen was Linus waarschijnlijk nooit aan Linux begonnen. Zie: https://www.amazon.com/Just-Fun-Linus-Torvalds/dp/3423362995
28-12-2021, 20:03 door Anoniem
Door Anoniem: Wat mij opvalt is het hoge aandeel van Chrome en dat windows eigenlijk continue lek en uitgebuit is, maar daar maakt bijna niemand zich druk om. We gaan vrolijk verder.
Dat komt o.a. doordat JS niet te dichten is en dus ook V8 niet te dichten is. Dus... een slecht design en daarop doorontwikkeld. Dat is een zeer succesvolle garantie voor oneindig veel lekken. En natuurlijk ook alle onzin rondom het WWW, dat mede ontwikkeld is door Google, maar ook MS. Dus ze hebben het helemaal aan zichzelf te danken, want zij zijn continue doorontwikkeld ipv een keer de standaarden een keer backwards incompatible te gaan maken en het goede gaan doen.

Ach, ze doen maar wat en ze schuiven een hele hoop geld door.
29-12-2021, 09:03 door Open source gebruiker
Door Anoniem:
Door Anoniem: Wat mij opvalt is het hoge aandeel van Chrome en dat windows eigenlijk continue lek en uitgebuit is, maar daar maakt bijna niemand zich druk om. We gaan vrolijk verder.
Dat komt o.a. doordat JS niet te dichten is en dus ook V8 niet te dichten is. Dus... een slecht design en daarop doorontwikkeld.

Ach, ze doen maar wat en ze schuiven een hele hoop geld door.

Wat wordt bedoeld met JS, wat betekend V8?
29-12-2021, 11:35 door Anoniem
Door Anoniem: Gebruik van beveiligde offline media zoals MicroSD en 7z voor communicatie van vertrouwelijke informatie voorkomt dat zeroday lekken gebruikt kunnen worden.

De nederlandse universiteits standaard voor het delen van vertrouwelijke informatie is hier een voorbeeld van, zie bijvoorbeeld https://www.cyberhelden.nl/episodes/episode-34-35/

Dank voor dit interessante bericht.

Het gebruik van deze manier van anoniem communiceren van vertrouwelijke data met 7zip beveiligde data op een MicroSD door universiteiten geeft aan dat universiteiten er vanuit gaan dat er allerlei manieren van onderscheppen van communicatie met zerodays zijn welke op dat moment onbekend zijn bij deze universiteiten.

Op https://www.youtube.com/watch?v=_Is1mJLRyzg is een mooi voorbeeld te vinden van een zeroclick expoit op een iPhone met zerodays.

De brede inzetbaarheid van deze expoits toont aan dat ze heel moeilijk te omzeilen zijn.

De manier van anoniem communiceren van vertrouwelijke data door universiteiten (zie het aangehaalde bericht hierboven) is echter ongevoelig voor (onbekende) exploits.
29-12-2021, 15:22 door Anoniem
Door Open source gebruiker:
Door Anoniem:
Door Anoniem: Wat mij opvalt is het hoge aandeel van Chrome en dat windows eigenlijk continue lek en uitgebuit is, maar daar maakt bijna niemand zich druk om. We gaan vrolijk verder.
Dat komt o.a. doordat JS niet te dichten is en dus ook V8 niet te dichten is. Dus... een slecht design en daarop doorontwikkeld.

Ach, ze doen maar wat en ze schuiven een hele hoop geld door.

Wat wordt bedoeld met JS, wat betekend V8?

JS = JavaScript

V8 = De JavaScript "engine" van Google (het ding wat javascript uitvoert, wordt oa gebruik in Chrome en NodeJS)

Zie ook https://v8.dev/
29-12-2021, 19:56 door Anoniem
Microsoft kreeg volgens Google dit jaar met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Vorig jaar waren dat er nog zeven. Tien van de dit jaar aangetroffen zerodays bevinden zich in Window
Wat erg zeg en waarschijnlijk is het nog veel erger want we mogen de code niet zien. Dat is wat de PvdA bedoelde.
15-02-2022, 09:33 door _R0N_
Als je in de tabel van beloningen kijkt kun je goe dopmaken waar het eenvoudigst lekken zijn te vinden. Hoe moeilijker het is des te meer er betaald wordt.
Doe daar je voordeel mee en kies de veiligste software voor je doel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.