Day0since disclosureno patch yetvendor unaware → exploitation possible

零日漏洞

11 最小阅读量安全

零日漏洞是供应商尚不了解的漏洞。在供应商知道并能够发布补丁之前,每个运行易受攻击代码的系统都会暴露。零日漏洞为最具影响力的攻击和价值数百万美元的漏洞利用经纪人市场提供支持。了解生命周期可以阐明为什么某些攻击如此具有破坏性。

完整的文章正文以英文提供如下。

A 零日漏洞 是受影响的供应商不知道的安全缺陷 - “零日”是自供应商发现以来的天数。该术语有时特指该漏洞也被积极利用(“野外零日”),有时只是补丁存在之前的时期。

生命周期

  1. Discovery. 有人(研究人员、攻击者、情报机构)发现了该错误。
  2. Decision. 发现者选择要做什么:向供应商报告(负责任的披露),出售给漏洞利用经纪人,自己使用漏洞利用,坐等。
  3. 预披露期。 如果报告,供应商有时间(通常为 90 天,有时经过协商)来开发修复程序。如果保密,则此期限是开放式的。
  4. 主动利用(如果适用)。 攻击者利用该漏洞攻击真实目标。可能发生在预披露期间或之后。
  5. 供应商补丁。修复已发布,通常分配有CVE。
  6. 披露。研究人员和供应商发布详细信息,允许其他防御者检测和缓解。
  7. 大规模利用。现在公开细节使得不太熟练的攻击者可以访问;未打补丁的系统会成为集体目标。

预披露期是危险的时期。供应商知道或不知道;研究人员没有检测签名;防御者无法采取特定的缓解措施。

零日值多少钱

两个市场:

  • 错误赏金计划为典型的关键漏洞支付5000-200K美元。顶级(苹果安全研究、谷歌的漏洞奖励计划)为全链漏洞支付高达 100 万至 200 万美元。
  • 像 Zerodium、Crowdfense 和 NSO Group 的研究部门这样的漏洞经纪人 为最有价值的类别支付 50 万至 250 万美元 - iOS 全链 RCE、Android 等效项、浏览器沙箱

严重零日漏洞的灰色市场价格大大超过了合法的赏金。价格差异给发现它们的研究人员带来了道德困境。向经纪人出售意味着该漏洞仍会被利用;向供应商报告意味着问题得到修复。不同的研究者出于不同的原因做出不同的选择。

谁使用零日漏洞

  • 国家情报机构。 NSA、GCHQ、FSB、MSS 和同等机构维持着购买或开发零日漏洞的进攻性网络团队。 Vault 7 泄密事件暴露了 CIA 的 TAO 工具包;斯诺登披露的信息在 NSA 规模上也显示出类似的情况。
  • 商业网络雇佣兵。 NSO Group (Pegasus)、Cellebrite、Cyt rox、Candiru — 向政府客户出售漏洞。多个已受到美国政府制裁。
  • 勒索软件团体。 越来越多地使用零日漏洞进行初始访问。 2023 Cl0p MOVEit 攻击袭击了数百个组织。
  • 高级持续威胁 (APT) 组织。 长期运行的民族国家附属团队,通过利用零日漏洞进行预先部署以供将来使用。

主要零日漏洞事件

  • Stuxnet (2010) — 四个 Windows 零日漏洞以及西门子 PLC 漏洞。用于对抗伊朗核浓缩。
  • Pegasus 零点击 iOS 漏洞利用(多次,2016-2024 年) — NSO 集团的 iOS 漏洞利用链,用于针对世界各地的记者和活动人士。
  • SolarWinds (2020) — 涉及零日漏洞的供应链攻击
  • ProxyLogon / ProxyShell (2021) — Microsoft Exchange Server 漏洞在补丁广泛部署之前被大量利用。
  • Log4Shell (2021) — 严重的 Java 日志记录库漏洞;
  • MOVEit Transfer (2023) — Cl0p 组织的利用打击了数千个组织。
  • iOS 锁定模式触发事件 (2022-2025) — 发现了多个复杂的链,导致 Apple 推出其强化的链

补丁窗口竞赛

零日漏洞被披露并修补后,大规模利用通常会在数小时至数天内发生。攻击者对补丁进行逆向工程,识别易受攻击的代码路径,并开发可利用的漏洞。防御者竞相打补丁面临着不对称性:攻击者只需要找到未打补丁的系统,防御者需要修补所有系统。

公开的修补到大规模利用的窗口一直在缩小。 ProxyShell 在几天之内就从泄露到大规模利用。 Log4Shell 在许多系统管理员听说之前就已被利用。

防御者可以做什么

减少零日影响的通用防御:

  • 沙箱. 即使成功利用沙盒组件(浏览器、文档查看器)也有限达到。
  • 深度防御。 如果分层架构健全,则没有任何一个漏洞可以提供完全访问。
  • 网络分段。 受感染的主机到达的网络较少。请参阅我们的 分段文章 .
  • 行为检测。 即使没有特定签名,现代 EDR 也能捕获恶意行为。
  • T 威胁情报源。 当发布妥协指标时,组织可以寻找先前的威胁
  • Apple 锁定模式和等效模式。 对于高风险个人(记者、活动人士、高管),平台级强化会禁用高风险功能。
  • P 补丁到达后立即修补。 减少未修补暴露的窗口是最大的一个变量.

披露辩论

负责任的披露规范已得到完善,但在边缘存在争议:

  • Google零项目使用90天的最后期限和14天的宽限期。无论供应商是否打了补丁,都会进行披露。
  • 一些研究人员倾向于根据严重程度缩短时间(60天)或更长(180天)。
  • 协调披露(供应商+研究人员+下游受影响方)需要更长的时间,但减少附带损害。
  • 有时对屡次未能解决问题的供应商使用无警告的“硬披露”报告。

道德因环境而异。共同规范:厂商应及时修复漏洞;研究人员应该给他们一个机会;补丁存在后,更广泛的社区应该知道。

常见问题

我受到零日影响的可能性有多大?
对于普通用户来说,大多数零日攻击都针对高价值组织或特定个人。大规模利用事件(Log4Shell、ProxyShell)通过软件影响生活中的每个人,但当修复到达时,防御措施正在修补。特别是对于针对您的有针对性的攻击,您需要成为州级对手的高价值目标。
我应该担心 Pegasus 或类似的间谍软件吗?
如果您是一名记者、活动人士、持不同政见者或对敌对政府感兴趣的政治家,是的,请采取锁定模式和操作纪律等预防措施。对于民主国家的普通用户来说,风险足够低,实际防御措施(保持设备更新、避免可疑链接、使用带有安全更新的主要供应商硬件)就足够了。
防病毒软件可以捕获零日攻击吗?
基于签名的反病毒软件通常不能——未知攻击没有签名。行为 EDR(CrowdStrike、Defender for Endpoint、SentinelOne)更有效,因为它着眼于进程执行的操作而不是进程的外观。检测率并不完美;即使是复杂的 EDR 也会错过一些复杂的零日漏洞。
为什么供应商不在发货前修复所有错误?
软件复杂性超出了审计预算。现代操作系统有数亿行代码。综合分析是不可能的;供应商发现他们优先发现的错误。另外,一些错误类别(竞争条件、旁路)是硬件和软件交互所固有的,没有审计发现。
有没有办法在平台层面对抗零日漏洞?
是的,从结构上来说。内存安全语言(Rust、Go)消除了各类错误。硬件缓解措施(CET、MTE、ARM 指针身份验证)使利用变得更加困难。沙箱限制了损害。过去15年的趋势是逐步强化;这一趋势比任何特定的零日漏洞更重要。
零日漏洞解释:补丁存在之前会发生什么