Google выкатил свежий репорт по зеродеям за 2024.
Пока вендоры латают дыры в браузерах и мобилках (там эксплойтов стало меньше), фокус смещается туда, где больнее и жирнее - на энтерпрайз.
Можно выделить следующее:
- Почти половина (44%) всех спаленных зеродеев в 2024 били по корпоративным целям. Это больше, чем в прошлом году. Особый прицел - секьюрити и нетворк железки (Ivanti, Palo Alto, Cisco). Потому что один удачный пробив часто дает RCE и полный контроль над всей сетью без нужды в сложных цепочках, EDR там часто слепой. Ivanti вообще ворвался в топ-3 самых атакуемых вендоров (7 зеродеев).
- Больше половины атрибутированных зеродеев - дело рук гос. контор и их клиентов. Китайцы стабильно долбят по сетевым железкам (5 зеродеев). Но главный сюрприз - Северная Корея! Впервые они сравнялись с Китаем по числу спаленных зеродеев (тоже 5 штук). Причем мешают шпионаж с баблом, били по Chrome и Windows. Один из их приколов - обход AppLocker (CVE-2024-21338) для получения ядра и отключения защит.
- Интересные техники, типа цепочки (CVE-2024-44308 RCE + CVE-2024-44309 обход изоляции) под MacOS/Intel, которая не ломала систему целиком, а тупо изнутри песочницы браузера тырила куки для login.microsoftonline.com. Походу достаточно эффективно для определенных задач.
- Группа CIGAR (RomCom), которая работает и на карман, и на дядю (похоже, российского), юзала цепочку под Firefox/Tor (CVE-2024-9680 RCE + новый зеродей CVE-2024-49039 LPE). Этот LPE обходил песочницу и давал SYSTEM через кривой RPC интерфейс WPTaskScheduler. Кстати, тот же эксплойт юзала еще одна, пока неопознанная группа.
- Коммерческие конторы типа Cellebrite пилят эксплойты (CVE-2024-53104 и др.), требующие физического доступа через USB для анлока мобил и съема данных. Тоже рынок.
В общем: браузеры и мобилки становятся крепче, но война на новом поле - корпоративные железки, особенно атаки на те, что и должны защищать. И да, старые и рабочие баги типа Use-after-free и Command Injection никуда не делись. Вообще читайте отчёт сами, идите и ищите дыры там, куда смещается фокус. Удачи.
