Исследователи из компании Symantec попытались оценить, насколько активно злоумышленники используют 0day-уязвимости и каков средний «срок жизни» такой уязвимости, прежде чем она становится известна широкой публике и вендору, который выпускает патч.
Практическое исследование такого рода невозможно по понятным причинам, ведь 0day-уязвимости по определению никому не известны. Вредоносы не детектируются антивирусными программами. Однако, специалисты Symatec разработали метод автоматического распознавания 0day-атак постфактум, по результатам статистики реальных бинарных файлов, скачанных на 11 млн компьютерах по всему миру в февраля 2008-го по март 2011-го года. Они провели эмпирическое исследование, получив некоторые интересные результаты. Презентация доклада (pdf) состоялась два дня назад на конференции Association of Computing Machinery.
Анализ собранной статистики позволил выявить 18 уязвимостей, которые эксплуатировали до момента публикации информации. Из них 11 уязвимостей были уникальными, то есть ранее неизвестными. Срок эксплуатации 0day-уязвимостей составляет от 19 дней до 30 месяцев. Среднее арифметическое — 312 дней, среднее по медиане — около 240 дней. На графике средняя величина «окна» для эксплуатации указана в месяцах.
После публикации информации о 0day-уязвимости количество атак с использованием данной уязвимости возрастало многократно, иногда в 100 тыс. раз (на пять порядков). В то же время патч для исправления уязвимости часто выходит позже, чем публикация информации о ней. На следующем графике показано увеличение количества атак после публикации информации о 0day-уязвимости.
Поскольку 0day-уязвимости эксплуатируются в среднем 312 дней до публикации информации, более точным названием для них было бы «-312day уязвимость».
Учитывая довольно долгий срок жизни 0day-уязвимости, становится понятной их высокая стоимость на чёрном рынке, которая составляет от $5 тыс. до $250 тыс., пишет Symantec.
