Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.
Wat is een zeroday?
Een zeroday is een actief aangevallen kwetsbaarheid waar op het moment van de aanval nog geen patch van de leverancier voor beschikbaar is. Dat maakt zeroday-aanvallen ook zo effectief, omdat elk systeem waarop de software draait in principe kwetsbaar is. Google doet al enige jaren onderzoek naar zeroday-aanvallen en houdt een overzicht van gevonden zerodaylekken bij.
| CVE in 2021 | Leverancier | Product | Type | Omschrijving |
|---|---|---|---|---|
| CVE-2021-1647 | Microsoft | Windows Defender | Memory Corruption | Unspecified remote code execution in Windows Defender |
| CVE-2021-1782 | Apple | iOS | Memory Corruption | Unspecified kernel race condition |
| CVE-2021-1870 | Apple | WebKit | Logic/Design Flaw | Unspecified logic flaw in Webkit |
| CVE-2021-1871 | Apple | WebKit | Logic/Design Flaw | Unspecified logic flaw in Webkit |
| CVE-2021-21148 | Chrome | Memory Corruption | Heap buffer overflow in V8 | |
| CVE-2021-21017 | Adobe | Reader | Memory Corruption | Heap-based buffer overflow |
| CVE-2021-1732 | Microsoft | Windows | Memory Corruption | Unspecified win32k escalation of privilege |
| CVE-2021-26855 | Microsoft | Exchange Server | Logic/Design Flaw | Server-side request forgery (SSRF) |
| CVE-2021-26857 | Microsoft | Exchange Server | Logic/Design Flaw | Insecure deserialization in the Unifed Messaging service |
| CVE-2021-26858 | Microsoft | Exchange Server | Logic/Design Flaw | Arbitrary file write |
| CVE-2021-27065 | Microsoft | Exchange Server | Logic/Design Flaw | Arbitrary file write |
| CVE-2021-21166 | Chrome | Memory Corruption | Object lifecycle issue in audio | |
| CVE-2021-26411 | Microsoft | Internet Explorer | Memory Corruption | Use-after-free in MSHTML |
| CVE-2021-21193 | Chrome | Memory Corruption | Use-after-free in Blink | |
| CVE-2021-1879 | Apple | WebKit | UXSS | Universal cross site scripting in Webkit |
| CVE-2021-28310 | Microsoft | Windows | Memory Corruption | Out-of-bounds write vulnerability in dwmcore.dll |
| CVE-2021-21206 | Chrome | Memory Corruption | Use-after-free in Blink | |
| CVE-2021-30661 | Apple | WebKit | Memory Corruption | Use-after-free in WebKit |
| CVE-2021-30665 | Apple | WebKit | Memory Corruption | Memory corruption related to state management in Webkit |
| CVE-2021-30663 | Apple | WebKit | Memory Corruption | Integer overflow in Webkit |
| CVE-2021-28550 | Adobe | Reader | Memory Corruption | Use-after-free |
| CVE-2021-1905 | Qualcomm | Android | Memory Corruption | Use-after-free in GPU |
| CVE-2021-1906 | Qualcomm | Android | Logic/Design Flaw | Improper error handling in GPU |
| CVE-2021-28663 | ARM | Android | Memory Corruption | Use-after-free in Mali GPU |
| CVE-2021-28664 | ARM | Android | Memory Corruption | Writes to read-only memory in Mali GPU |
| CVE-2021-31955 | Microsoft | Windows | Logic/Design Flaw | Kernel information disclosure in SuperFetch |
| CVE-2021-31956 | Microsoft | Windows | Memory Corruption | Heap-based buffer overflow in ntfs.sys |
| CVE-2021-33742 | Microsoft | Internet Explorer | Memory Corruption | Out-of-bounds write in MSHTML |
| CVE-2021-31199 | Microsoft | Windows | ??? | Unspecified enhanced crypto provider escalation of privilege |
| CVE-2021-31201 | Microsoft | Windows | ??? | Unspecified enhanced crypto provider escalation of privilege |
| CVE-2021-30551 | Chrome | Memory Corruption | Type confusion in v8 | |
| CVE-2021-30554 | Chrome | Memory Corruption | Use-after-free in WebGL | |
| CVE-2021-33771 | Microsoft | Windows | Memory Corruption | Unspecified kernel escalation of privilege |
| CVE-2021-34448 | Microsoft | Internet Explorer | Memory Corruption | Unspecified scripting engine memory corruption |
| CVE-2021-31979 | Microsoft | Windows | Memory Corruption | Unspecified kernel escalation of privilege |
| CVE-2021-30563 | Chrome | Memory Corruption | Type confusion in v8 | |
| CVE-2021-30807 | Apple | iOS | Memory Corruption | Memory corruption in IOMobileFrameBuffer |
| CVE-2021-36948 | Microsoft | Windows | ??? | Windows update medic service elevation of privilege |
| CVE-2021-40444 | Microsoft | Internet Explorer | Logic/Design Flaw | Unspecified remote code execution in MSHTML |
| CVE-2021-30860 | Apple | iOS | Memory Corruption | Integer overflow in CoreGraphics |
| CVE-2021-30858 | Apple | WebKit | Memory Corruption | Use-after-free |
| CVE-2021-30632 | Chrome | Memory Corruption | Out of bounds write in V8 | |
| CVE-2021-30633 | Chrome | Memory Corruption | Use-after-free in Indexed DB | |
| CVE-2021-30869 | Apple | macOS | Memory Corruption | Type confusion in XNU |
| CVE-2021-37973 | Chrome | Memory Corruption | Use-after-free in Portals | |
| CVE-2021-37975 | Chrome | Memory Corruption | Use-after-free in V8 | |
| CVE-2021-37976 | Chrome | Memory Corruption | Information leak in Core | |
| CVE-2021-41773 | Apache | HTTP Server | Logic/Design Flaw | Path traversal & file disclosure vulnerability |
| CVE-2021-30883 | Apple | iOS | Memory Corruption | A memory corruption iss in IOMobileFrameBuffer |
| CVE-2021-40449 | Microsoft | Windows | Memory Corruption | Use-after-free in Win32k |
| CVE-2021-38000 | Chrome | Logic/Design Flaw | Insufficient validation of untrusted input in Intents | |
| CVE-2021-38003 | Chrome | Memory Corruption | Inappropriate implementation in V8 | |
| CVE-2021-1048 | Android | Memory Corruption | Use-after-free in ep_loop_check_proc | |
| CVE-2021-0920 | Android | Memory Corruption | Race condition during SCM_RIGHTS garbage collection | |
| CVE-2021-42292 | Microsoft | Office | ??? | Excel security feature bypass |
| CVE-2021-42321 | Microsfot | Exchange Server | ??? | Remote code execution |
Recordaantal zerodaylekken in 2021
Dit jaar registreerde het techbedrijf een recordaantal zerodaylekken. Daarbij moet worden opgemerkt dat de lijst van Google niet compleet is. Zo ontbreken bijvoorbeeld zerodays in de software van leveranciers als Zoho, Pulse Secure en SonicWall waar het afgelopen jaar voor werd gewaarschuwd en zijn ook meerdere zerodaylekken in WordPress-plug-ins niet meegenomen.
Het vinden van kwetsbaarheden en ontwikkelen van een exploit om er misbruik van te maken is vaak een tijdsintensief proces. Aanvallers die zerodays inzetten kiezen dan ook vaak voor software die door meerdere potentiële doelwitten wordt gebruikt. Om te voorkomen dat de zeroday wordt ontdekt en de leverancier een update kan ontwikkelen, worden dergelijke kwetsbaarheden voor zover bekend niet massaal misbruikt. Vaak melden softwareleveranciers dan ook dat de gevonden zeroday op "beperkte schaal" bij "gerichte aanvallen" is ingezet.
Het probleem met zerodays is dat er geen volledig zicht op is waardoor het daadwerkelijke aantal onbekend is, hoewel de zichtbaarheid volgens Google wel steeds beter wordt. De afgelopen jaren is het aantal ontdekte zerodays sterk gestegen, wat kan duiden op een betere zichtbaarheid of dat er meer zerodays worden ingezet. Ging het volgens Google in 2015 nog om 28 zerodaylekken, dit jaar registreerde het techbedrijf 57 zerodays, waarvan het allergrootste deel in de software van Apple, Google en Microsoft. De 57 gevonden zerodays zijn een ruime verdubbeling ten opzichte van vorig jaar, toen de teller op 25 uitkwam. Het aantal zerodaylekken maakt trouwens een klein deel uit van het totaal aantal gevonden kwetsbaarheden. Dat kwam dit jaar uit op zo'n 20.000.
Evolutie
De lijst van Google gaat terug tot 2014 en in de eerste jaren zijn met name Adobe Flash Player, Internet Explorer en Microsoft Office het doelwit. Flash Player is inmiddels uitgefaseerd en het aantal IE-gebruikers is nog maar een klein deel van wat het eerst was. Aanvallers hebben daarop gereageerd. Zo neemt sinds 2019 het aantal in Chrome en iOS gevonden zerodays toe.
Dit jaar kwam Apple met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Vorig jaar ging het nog om acht zerodays in Chrome en drie in iOS. In 2021 werd ook Android een doelwit voor zeroday-aanvallen met in totaal zeven zerodaylekken, tegenover nul in 2020 en één in 2019.
Microsoft kreeg volgens Google dit jaar met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Vorig jaar waren dat er nog zeven. Tien van de dit jaar aangetroffen zerodays bevinden zich in Windows en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Aanvallers gebruiken dergelijke kwetsbaarheden ook om bijvoorbeeld uit de sandboxbeveiliging van Chrome te breken.
De aanvallers en doelwitten
Een ander kenmerk van veel zeroday-aanvallen is dat softwareleveranciers over het algemeen niet melden tegen wie ze zijn gericht. Toch is dat niet altijd het geval. In maart van dit jaar kwam Microsoft met noodpatches voor vier aangevallen zerodaylekken in Exchange Server. Daarbij wees het techbedrijf ook een aanvaller aan. Volgens Microsoft waren de aanvallen namelijk uitgevoerd door een vanuit China opererende groep genaamd Hafnium.
In 2019 meldde het Canadese Citizen Lab, dat onderzoek doet naar zeroday-aanvallen, dat Oeigoerse en Tibetaanse groepen doelwit van zeroday-aanvallen waren geworden. Apple beschuldigde dit jaar de NSO Group van aanvallen tegen iPhone-gebruikers. De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren.
Meerdere zeroday-exploits die dit en voorgaande jaren werden ontdekt waren ontwikkeld door de NSO Group. Een van deze exploits die begin dit jaar werd gevonden omschreef Google als "één van de meest geavanceerde exploits" ooit gezien. Er zijn echter meer bedrijven zoals NSO Group actief. Veel van de zeroday-aanvallen lijken politiek gemotiveerd of betreffen (economische) spionage. Zo meldde dit jaar een collectief van mediaorganisaties en onderzoekers dat de Pegasus-spyware wereldwijd is ingezet tegen activisten, journalisten en politici.
Melden of verkopen
De meeste grote softwareleveranciers hebben inmiddels bugbountyprogramma's die onderzoekers belonen voor het melden van kwetsbaarheden, zodat die vervolgens kunnen worden opgelost. Er is echter ook een markt waarbij onderzoekers gevonden beveiligingslekken kunnen verkopen zonder dat de betreffende leverancier wordt ingelicht. Een bekend voorbeeld is het bedrijf Zerodium, dat 2,5 miljoen dollar betaalt voor een exploit waarmee Androidtelefoons zonder interactie op afstand zijn over te nemen. Een soortgelijke aanval voor iOS levert 2 miljoen dollar op.
Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.
Maak zerodays moeilijker
Eerder dit jaar stelde Maddie Stone van Google Project Zero dat onderzoekers nu een beter beeld hebben van de zeroday-aanvallen die plaatsvinden, in plaats van dat slechts een klein gedeelte wordt gezien. Het Google Project Zero-team waar Stone deel van uitmaakt heeft als motto "make zero-day hard." Het is de bedoeling om het lastiger voor aanvallers te maken om zerodays in te zetten. Zo moet onder andere de toepassing van nieuwe technieken de ontwikkeling van exploits bemoeilijken.
Daarnaast moeten softwareleveranciers volgens Stone betere beveiligingsupdates ontwikkelen om ervoor te zorgen dat gerelateerde kwetsbaarheden door één patch worden afgevangen. De huidige patchmethodes maken het niet lastiger om andere zerodays te vinden, stelde Stone. Eerder dit jaar meldde Google al dat een kwart van de in 2020 ontdekte zerodays door betere patches van leveranciers voorkomen had kunnen worden. Verder stelt Stone dat softwareleveranciers nauwer met onderzoekers moeten samenwerken over patches en patchontwerp voordat een update wordt uitgerold en er andere mitigatiemaatregelen aan de software worden toegevoegd.
Ook heeft Stone een boodschap voor gebruikers. Die moeten meer druk op hun softwareleveranciers uitoefenen en hen aansprakelijk houden voor het volledig verhelpen van kwetsbaarheden.
Softwareleveranciers aanspreken
Vorige week riep de PvdA (pdf) het kabinet op om softwareleveranciers aan te spreken op de veiligheid van hun producten en ervoor te zorgen dat ze gebruikers niet meer overladen met beveiligingsupdates. Daarnaast wil de partij dat er wordt gekeken hoe leveranciers aansprakelijk kunnen worden gesteld voor de gevolgen van kwetsbare software.
Bron: AusCERT, zerodium.com, security.nl
Zeroday gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over zerodays
2021 record jaar Zeroday kwetsbaarheden
Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.
Alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten
Het HP Wolf Security bedreigingsonderzoeksteam vond bewijs dat cybercriminelen zich snel organiseren om een lek in software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers (zero-day) in te zetten op nieuwe kwetsbaarheden. Op 8 september onderschepte HP voor het eerst een stukje code (exploit) gericht op de kwetsbaarheid met de benaming CVE-2021-40444 die via misbruik van Microsoft Office-documenten het systeem infecteerde. Dit gebeurde een week voordat de patch werd vrijgegeven op 14 september.
Kwetsbaarheid in Apple besturingssysteem wordt misbruikt om Westerse politici aan te vallen
Russische hackers hebben een zero day exploit in Apples besturingssysteem iOS misbruikt om Westerse politici aan te vallen. Door een kwetsbaarheid in Webkit in Safari konden aanvallers via LinkedIn Messaging een bericht met phishinglink versturen. Eenmaal op de pagina werden authenticatiecookies van populaire sites als Facebook en Google gestolen.
Apple brengt dringende beveiligingspatches uit voor zero-day bugs bij actieve aanvallen
Apple heeft maandag beveiligingsupdates uitgebracht voor iOS , macOS en watchOS om drie zero-day-fouten aan te pakken en patches uit te breiden voor een vierde kwetsbaarheid waarvan het bedrijf zegt dat deze kwetsbaarheid reeds misbruikt wordt.