В каждом продукте есть 0-day уязвимости. И в этом нет ничего удивительного. Однако случаев использования их мошенниками не так много. Намного опаснее уязвимости 1-day. Почему это так, в эфире «ИБшник на удалёнке» рассказали эксперты Positive Technologies — директор по анализу защищённости Дмитрий Серебрянников, глава отдела анализа приложений Дмитрий Скларов и директор экспертного центра безопасности Алексей Новиков.
«Вообще каждый проект — это выявление каких-то уязвимостей нулевого дня. И здесь нет ничего удивительного. Потому что вокруг уязвимостей нулевого дня есть какой-то ореол таинственности и уникальности, однако не все уязвимости очень сложные в эксплуатации и обнаружении. Очень большая часть уязвимостей лежит на поверхности, просто раньше их никто не искал в каких-то продуктах. Поэтому не нужно думать, что уязвимость нулевого дня — это что-то такое редкое. На самом деле, мы их находим на каждом нашем проекте», — сразу отметил Дмитрий Серебрянников.
0-day vs 1-day
Вместе с тем его коллега, Дмитрий Скляров пояснил, что крайне важно понимать, что такое жизненный цикл уязвимости, как она эволюционирует за время своего существования. По его словам, изначально есть разработчик, который что-то написал, что-то создал и допустил ошибку. И эта ошибка может присутствовать в системе не один год, пока на неё не наткнуться исследователи или злоумышленники. «И вот в тот момент, когда об этой уязвимости становится известно, о том, что она существует, как раз этот момент называется 0-day. Почему нулевой день? Вендор ещё ничего не может сделать для того, чтобы защитить своих клиентов, которые используют его технологию», — рассказал Дмитрий Скляров.
Он также отметил, что после того, как вендор выпустит патч, сообщит, что существовала какая-либо уязвимость и что теперь от неё есть защита — об этом узнаёт весь мир. Однако далеко не все бросаются ставить себе патч. Для этого есть много причин. Например, если была найдена проблема в BIOS или подсистеме Management Engine, о ней сообщили в Intel, и компания через полгода выпустила патч. Но если быть честными, то через сколько этот патч окажется установленным у пользователя на компьютере? Ведь обычные пользователи вряд ли думают об обновлении BIOS сразу после покупки своего компьютера: они купили устройство, настроили его, а зачем обновлять, если всё и так работает, ничего не беспокоит. «И вот тогда наступает ситуация, что компьютер находится в состоянии 1-day уязвимости. То есть уязвимость известна, для неё уже существует патч, но у большинства пользователей он не стоит. Вот это наиболее частая ситуация, когда люди оказываются уязвимы к тому, что они сами уже могут закрыть, но почему-то не закрыли», — пояснил Дмитрий Скляров.
А что опаснее?
Вместе с тем Алексей Новиков заверил, что эксплуатация уязвимостей нулевого дня — не так часто встречающаяся история. «Я по памяти вспоминал 2019 год, и в принципе до 10 случаев было известно. Когда действительно в рамках какой-либо атаки, эта атака обнаруживалась, производилось расследование и становилось понятно, что использовался како-то 0-day, который на тот момент не был пропатчен», — рассказал он.
А вот уязвимости первого дня эксплуатируются злоумышленниками гораздо чаще. Потому что после публикации вендором информации о найденной уязвимости и новом патче, сразу же выкладываются в интернет эксплойты. «И колоссальное количество злоумышленников оперативно адаптируют под себя эти эксплойты и начинают массовую эксплуатацию этих уязвимостей. Причём этим занимаются и АРТ-группировки, которые работают целенаправленно, таргетировано против каких-то отраслей либо стран, так и злоумышленники, которые занимаются этим массово, на масс-маркете. И к сожалению, условия, когда злоумышленник использует эту уязвимость, то это почти 100% попадание в инфраструктуру, 100% реализация этих рисков и угроз, которые они несут», — пояснил Алексей Новиков.
