Google giải thích việc khai thác trong tự nhiên gia tăng

Có vẻ như đã có sự gia tăng cụm từ 'khai thác cho CVE-1234-567 tồn tại trong tự nhiên' trong các blog Chrome gần đây. Đó là điều dễ hiểu đối với hầu hết người dùng Chrome. Tuy nhiên, trong khi việc gia tăng khai thác có thể thực sự đáng lo ngại, Chrome Security giải thích rằng xu hướng này cũng có thể là dấu hiệu cho thấy khả năng bị khai thác tăng lên. Vì vậy, đó là nó? 

Xu hướng này có thể do cả hai lý do, theo Adrian Taylor của Chrome Security trong blog để làm rõ một số quan niệm sai lầm về điều này. 

Project Zero đã theo dõi tất cả các lỗi zero-day đã được xác định cho các trình duyệt, bao gồm WebKit, Internet Explorer, Flash, Firefoxvà Chrome.

Sự gia tăng các hoạt động khai thác này trong Chrome là khá đáng chú ý từ năm 2019 đến năm 2021. Ngược lại, không có lỗi zero-day nào được ghi nhận trong Chrome từ năm 2015 đến năm 2018. Chrome Security làm rõ rằng điều này có thể không có nghĩa là hoàn toàn không có khai thác trong các trình duyệt dựa trên Chromium trong những năm này. Nó thừa nhận không có cái nhìn đầy đủ về khai thác đang hoạt động và dữ liệu có sẵn có thể có sai lệch lấy mẫu.   

Vậy tại sao hiện nay có rất nhiều vụ khai thác? Chrome Security quy điều này là do bốn lý do có thể xảy ra: tính minh bạch của nhà cung cấp, sự tập trung của kẻ tấn công đã phát triển, hoàn thành dự án Cách ly trang web và mối liên quan giữa mức độ phức tạp với lỗi phần mềm. 

Đầu tiên, nhiều nhà sản xuất trình duyệt hiện đã công bố thông tin chi tiết về việc khai thác như vậy thông qua liên lạc phát hành của họ. Đây không phải là thông lệ trước đây khi các nhà sản xuất trình duyệt không thông báo rằng một lỗi đang bị tấn công ngay cả khi họ nhận thức được điều này.

Thứ hai, có một sự tiến hóa trong tiêu điểm của kẻ tấn công. Vào đầu năm 2020, Edge chuyển sang công cụ kết xuất Chromium. Đương nhiên, những kẻ tấn công đi theo mục tiêu phổ biến nhất vì khi đó, chúng có thể tấn công nhiều người dùng hơn.   

Thứ ba, sự gia tăng các lỗi có thể là do dự án Cách ly Trang web trong nhiều năm gần đây đã hoàn thành, khiến một lỗi gần như không đủ để gây hại nhiều. Do đó, các cuộc tấn công trước đây chỉ yêu cầu một lỗi duy nhất thì nay cần nhiều hơn thế. Trước năm 2015, nhiều trang web chỉ nằm trong một quy trình kết xuất duy nhất, do đó có thể lấy cắp dữ liệu của người dùng từ các trang web khác chỉ với một lỗi duy nhất. Với dự án Site Isolation, trình theo dõi cần phải xâu chuỗi hai lỗi trở lên để làm ảnh hưởng đến quy trình kết xuất và nhảy vào quy trình của trình duyệt Chrome hoặc hệ điều hành.  

Cuối cùng, điều này có thể là do một thực tế đơn giản là phần mềm có lỗi và một phần nhỏ trong số đó có thể bị khai thác. Các trình duyệt phản ánh độ phức tạp của hệ điều hành và độ phức tạp cao tương đương với nhiều lỗi hơn. 

Những điều này có nghĩa là số lượng lỗi bị khai thác không phải là thước đo chính xác cho rủi ro bảo mật. Tuy nhiên, nhóm Chrome đảm bảo rằng họ đang nỗ lực phát hiện và sửa lỗi trước khi phát hành. Về các cuộc tấn công n-day (khai thác các lỗi đã được sửa), đã giảm đáng kể “khoảng cách vá lỗi” của chúng từ 35 ngày trong Chrome (trung bình 76 ngày xuống còn 18 ngày). Họ cũng mong muốn giảm thiểu điều này hơn nữa. 

Tuy nhiên, Chrome nhận ra rằng bất kể tốc độ mà họ cố gắng khắc phục việc khai thác trong tự nhiên, các cuộc tấn công này đều tệ. Như vậy, họ đang cố gắng thực sự để làm cho cuộc tấn công trở nên tốn kém và phức tạp cho đối phương. Các dự án cụ thể mà Chrome đang thực hiện bao gồm việc tăng cường liên tục tính năng Cô lập Trang web, đặc biệt là cho Android, Hộp cát heap V8, Các dự án MiraclePtr và Quét, ngôn ngữ an toàn cho bộ nhớ trong việc viết các phần mới của Chrome và các biện pháp giảm thiểu sau khai thác.  

Chrome đang nỗ lực để đảm bảo an ninh thông qua các dự án kỹ thuật bảo mật lớn này. Tuy nhiên, người dùng có thể làm điều gì đó đơn giản để giúp đỡ. Nếu Chrome nhắc bạn cập nhật, hãy làm điều đó.