2018年堪称安全漏洞年,2019年安全漏洞问题可能更加严重。
ZDI从本质上而言是从安全研究人员处收购漏洞再负责任报告给厂商的一项生意。2018年ZDI共发布了1,444个安全公告,比2017年增加42%。ZDI采取的策略是留给厂商120天时间修复漏洞,然后再公开披露。2018年里,接到ZDI负责任报告的厂商绝大部分都在披露窗口期内响应并修复了漏洞,仅158个漏洞(11%)未能在窗口期内修复。
ZDI沟通总监 Dustin Childs 告诉媒体:
总体上,只有漏洞总数令人感到意外。我们预期到了2018年报告的漏洞数量会比2017年多,但没想到多出了40%以上。另一个意外可能是我们预测了却没发生的事:新的研究领域并未如我们预测的那般多。
Childs表示,看起来似乎仅当前研究领域就还有很多漏洞够安全研究人员忙活的。2018年最为繁忙的安全研究领域是与Adobe和Foxit相关的PDF技术,ZDI共收购了257个Foxit漏洞和238个Adobe漏洞。
最近这几年里,PDF漏洞报告的规模一直在增长。鉴于PDF那巨大的攻击面,未来几年中PDF相关漏洞的报告看起来是不会减的。
微软的漏洞也继续保持活跃,ZDI在2018年里收获了124个微软安全漏洞。其中,47%与浏览器有关,包括IE、Edge和VBScript漏洞。ZDI收获的漏洞各种严重程度都有,60%的严重性评估为中度,33%为高度。
修复
ZDI眼中,厂商在2018年面临的最大挑战之一是现有补丁中的漏洞,也就是厂商已经发布了补丁但安全研究人员仍能利用该漏洞或找出其他方面的风险。
这种问题就好似医生只缓解症状不根除病灶一样。厂商往往只修复问题点,而不去解决底层的根源。
有时候厂商做出只修复问题点的选择也无可厚非,因为完整修复可能会要求移除整个功能或代码库。有时候则是因为应用兼容性问题。无论什么原因,厂商不解决底层问题的例子比比皆是,也就造成了漏洞需要多个补丁才能完全堵住的现象。
Pwn2Own
ZDI的漏洞收购是贯穿全年的,但也有些活动或大会性质的漏洞收购。其中最活跃,奖金最丰厚的要数一年一次的Pwn2Own黑客大赛了。只要能够现场演示软件漏洞,就能拿走现金奖励。
去年的Pwn2Own聚焦Web浏览器和虚拟化技术,2019年其范围将扩大到汽车技术,特斯拉会成为这方面的目标。ZDI将为成功漏洞利用发出最高30万美元的奖金和一辆特斯拉 Model 3。
汽车类对ZDI而言无疑是全新领域,但遵循了ZDI在Pwn2Own上增加不同设备与目标的趋势,可以保持该竞赛的新鲜感与重要性。
今年的大赛除了微软会作为合作伙伴回归,还有VMware和特斯拉会作为赞助商提供支持。2019年的Pwn2Own上将出现多种微软系目标,包括价值25万美元赏金的Hyper-V客户机到主机逃逸型虚拟化漏洞利用。VMware提供的最高奖将为ESXi虚拟化技术漏洞利用颁出,但必须是能让客户操作系统在主机操作系统中执行代码的那类。
浏览器一直是Pwn2Own大赛上的主要目标。2019年,ZDI将为谷歌Chrome浏览器和微软Edge漏洞利用发出最高8万美元的奖金。苹果Safari浏览器漏洞利用若能造成macOS内核提权,也能赢得6.5万美元奖励。通过 Mozilla Firefox 浏览器执行的Windows内核提权可以拿下5万美元奖金。
Linux
值得一提的是,Pwn2Own 2019 的目标列表中缺少了往年都会有的Linux。2017年,Ubuntu Linux 在Pwn2Own首日竞赛中即宣告被成功漏洞利用。ZDI如今将Linux和服务器目标转移到了另一个计划中——针对性激励计划(Targeted Incentive Program)。
创立针对性激励计划时,我们的部分考虑是如何将Pwn2Own从几天扩展至数月。某些目标需要大量研究才能找到并编制出完整的漏洞利用程序。我们很感兴趣的许多Linux目标,比如Apache和NGINX,都转移到了那个计划中。
Pwn2Own 2019 将于2019年3月20-22日在加拿大温哥华的CanSecWest大会上举行。