Google TAG: 2023年野外利用的97个零日漏洞

执行摘要

Google的威胁分析小组（TAG）今天发布了其年度报告，记录了2023年在野外观察到的零日漏洞利用情况，记录了97个不同的零日漏洞被积极利用——比2022年记录的62个增加了56%。报告标题为“We're All in this Together: A Year in Review of Zero-Days Exploited In-the-Wild in 2023”，主要归因于商业监控供应商（CSVs），如NSO Group和Intellexa，它们负责大约80%的目标零日部署。TAG指出，数据仅反映已确认的公开跟踪漏洞，可能低估了活动的真实规模。

技术分析

根据TAG的分析，97个零日漏洞涉及多个平台，其中Google Chrome、Apple iOS和Microsoft Windows是最常被针对的产品。报告强调CSVs越来越多地将多个零日漏洞串联在一起，以实现代码执行、权限提升和沙箱逃逸。一个值得注意的趋势是，向零点击漏洞的转变，这些漏洞针对消息平台和移动操作系统，减少了受害者检测入侵的能力。TAG还观察到，补丁发布和威胁行为者逆向工程修复之间的平均时间已压缩到不到24小时，对于高知名度漏洞，加速了武器化窗口。

报告强调，被CSVs利用的80%的零日漏洞是针对特定个人——记者、人权捍卫者和政治异见者——而不是广泛的不分青红皂白的活动。TAG将这种目标精确性归因于CSVs的商业模式，它们向政府客户出售漏洞利用能力，然后这些客户将其部署在指定目标上。剩下的20%的零日漏洞被国家支持的高级持续性威胁（APT）组织利用，包括那些与朝鲜、俄罗斯和中国有联系的组织，用于间谍活动和数据盗窃行动。

TAG指出，尽管零日漏洞的总数增加了，但n-day漏洞利用（已修补但仍然被利用的漏洞）的比例也上升了，这表明许多组织未能足够快地应用补丁。报告引用了在披露后48小时内使用CVE公开补丁的漏洞进行攻击的例子。

缓解措施与建议

Google TAG建议组织优先考虑补丁管理自动化，并将关键漏洞的平均补丁时间（MTTP）减少到24小时以下，鉴于观察到的快速武器化时间线。对于防御者来说，在Chrome、iOS和Windows设备上启用自动更新是对抗零日漏洞利用最有效的控制措施。TAG还建议实施应用程序沙箱和设备级漏洞缓解（例如，Chrome的站点隔离，iOS的指针认证）以提高串联漏洞的成本。对于高风险用户——记者、活动家、高管——TAG建议使用高级保护计划（Google的APT）和专门的威胁情报源，以提前收到关于活跃利用的警告。