整理国外吃瓜网友对我国0day研究能力探究
让我们来探索一下中国的零日漏洞研究能力。我一直对中国团队在发现漏洞方面的高产性感到好奇。在过去的几个月里,我收集了一些数据并分析了已报告的漏洞,以获得更深入的了解。
自 2021 年 9 月起,中国政府已规定,任何发现零日漏洞的中国研究人员、企业甚至在中国运营的外国公司都必须向工信部(MIIT) 报告详细信息。
该政策由工信部发布的《网络产品安全漏洞管理规定》正式确定,规定要求各实体在发现漏洞后两天(48小时)内报告漏洞。
https://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm
企业受到激励推动中国网络安全研究。奇虎 360、腾讯玄武实验室、绿盟科技、蚂蚁安全实验室、启明星辰科技和赛博昆仑等重点实验室一直处于漏洞发现和专业知识的前沿。
虽然鼓励公司向供应商报告调查结果,但根据中国《国家安全法》(2015 年)和《网络安全法》(2017 年),涉及国家安全的漏洞可能被归类为敏感漏洞,限制任何形式的公开讨论或披露。
另一方面,中国国家信息技术安全测评中心(CNITSEC)等机构对国外技术产品进行安全评估和审查,以评估对国家安全的潜在风险。
我正在寻找具体数据来评估其真实规模。考虑到 Microsoft Windows 的普及性以及 Microsoft 丰富的历史数据,我将以windows漏洞作为例子来说明具体情况。
为此,我通过 Microsoft CVRF API 收集了 Windows 10 x64(2021 年 1 月 - 2024 年 8 月)的所有已发布漏洞。清理后,审查的数据集包含 1,474 个 CVE。
https://github.com/microsoft/MSRC-Microsoft-Security-Updates-API
我交叉核对了每个漏洞的致谢,确认其为中国公民或在中国运营的公司。这个艰苦的过程使用了 X、GitHub 和博客等来源,以尽量确保标记最准确。一些存在疑问的条目被排除在外。
研究结果令人震惊:在分析的 1,474 个 CVE 中,有 598 个是由中国公民或公司报告的,占所有已发布的 Windows x64 漏洞的 40.5%。
虽然对影响国家安全的漏洞的披露禁令、潜在的报告延迟以及持续的审查可能会掩盖真实数字,但我们仍然可以分析趋势,以确定随着时间的推移焦点集中在哪里。
尽管漏洞越来越难发现,但中国报告的 CVE 数量同比增长了 10-15%。这可能反映了研究人员加大了对更多组件的挖掘力度,或者更加注重全面审查,从而发现了更多漏洞。
按组件检查报告最多的漏洞,2021 年仅在 RPC 运行时中就出现了 35 个 CVE,这些漏洞均由 Yuki Chen(赛博昆仑CTO古河) 报告,他可以说是最多产的 Windows 研究人员。其余报告最多的 CVE 是多个服务中的特权提升。
2022 年,焦点似乎转向了 LDAP、PPTP 和 SQL 的 ODBC/OLE 等远程访问服务,并逐渐受到关注。自那以后,针对远程组件的关注度越来越高。
到 2023 年,焦点转移到内核驱动程序漏洞,这可能是由于 Microsoft 不断增加漏洞缓解措施。每个组件的 CVE 数量激增再次凸显了对高度详细和彻底的审计所付出的努力。
除了 Google Project Zero,西方研究人员很少看到这种深入、系统的审计。他们不仅发现了微妙的错误,还通过将精心审计的代码与新版本进行差异化,为未来的错误搜索建立了知识库。
根据 Yuki Chen 为赛博昆仑所做的 2023 Blackhat 演讲,我们已经可以预见今年的重点关注领域。正如预期的那样,我们观察到网络协议和驱动程序受到高度重视。
截至 8 月份,我们已经发现 23 个与安全启动绕过和多个网络协议漏洞相关的 CVE,其中包括我之前分析过的两个备受关注的漏洞:CVE-2024-38063(tcpip)和 CVE-2024-30078(wifi)。
中国研究人员所做的工作非常出色,凸显了西方政府和企业的落后。与此同时,西方研究人员通常独立工作,零日漏洞研究与灰色市场密切相关。
点评:感觉有点吹捧!
原文始发于微信公众号(独眼情报):我国0day研究能力探究
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论