В первой половине 2022 года эксперты Google Project Zero обнаружили 18 уязвимостей нулевого дня, находившихся под атаками (в том числе в Microsoft Windows, Apple iOS и WebKit, Google Chromium, Pixel и Atlassian Confluence). По меньшей мере половина из них появилась из-за того, что предыдущие ошибки не были исправлены должным образом.
Эксперт Google Project Zero, Мэдди Стоун (Maddie Stone), рассказала, что в этом году появления девяти 0-day уязвимостей можно было избежать, если бы организации выпускали более комплексные исправления и проводили больше тестов.
«Четыре 0-day уязвимости 2022 года являются новыми версиями уязвимостей 2021 года, которые эксплуатировались в атаках. Всего через 12 месяцев после исправления оригинальной уязвимости злоумышленники вернулись к атакам с новым вариантом исходной ошибки», — пишет Стоун.
Таким образом, исследователи Google подсчитали, что пока в 2022 году было обнаружено всего четыре по-настоящему уникальных уязвимости нулевого дня, а в остальных случаях злоумышленникам было достаточно чуть скорректировать свои эксплоиты и обойти поверхностные исправления производителей.
Один из ярких примеров — недавно обнаруженная уязвимость Follina (CVE-2022-30190), которая представляет собой вариант 0-day бага, уже исправленного ранее в MSHTML (CVE-2021-40444).
«Когда 0-day эксплоиты обнаруживаются на практике, это неудача для злоумышленника, но для нас, защитников безопасности, это подарок. Мы можем узнать как можно больше и принять меры, гарантировав, что данный вектор атаки нельзя будет использовать снова», — подчеркивает Стоун, призывая коллег относиться к патчам более ответственно.
