读谷歌2021年0day野外利用回顾的一点感想

写在前面的话

这篇文章为谷歌 Google Project Zero团队写的一份关于2021年0day野外利用回顾。原文链接放文章末尾，有兴趣可以点进去看全文。

seebug也发布一份中文版，有兴趣可以去他们公众号里阅读。

Project Zero team ，为了省事直接写P0了

正文部分

这篇文章有一个挺让人震惊的主标题，“The More You Know, The More You Know You Don’t Know ”。其实说起来这也没错，0day这水不是一般深。

文章中P0强调他们做这个0day分析的使命是“make 0day hard”，然后总结了三点怎么让这个使命实现。

1. 要所有供应商都要在安全公告里披露漏洞野外利用的状态。

2. 大家要乐于分享，不管是漏洞利用代码还是漏洞利用详细技术。

3. 内存破坏是主要问题，要想办法减少或者让其无法利用。

感觉P0打算搞一个联盟，联盟里按照标准同步共享0day利用的情报信息，以及漏洞的技术，并且对过去漏洞利用进行总结发现大部分是内存破坏，所以需要通过业界重视针对内存破坏这样漏洞进行技术治理。

这篇文章P0列举了他们2021年的工作成绩，主要以下几点

• 2021年的0day收到了很多

在2021年总共弄到个58个的0day，比2020的弄到的25个0day数量的翻倍，也是这么从2014开始多年最多的一次，之前基本每年P0能搞到的0day也就二十多个。

• 给P0报告0day利用的人多了
  

2021年有20个单位报告了0day利用，这个数量在2020年只有10个，之前更惨淡的年份都是P0自己在玩。

• 联盟内的0day利用的检测能力提高

P0没有多写只是简单说了一句，谷歌在自己体系内发现了7个0day，微软在自己体系内发现了10个（初略略看了一下表格里漏洞的报告来源，很多都是src或者ti这样的地方报来的，应该也是外部报来的，不知道P0怎么定义自己检测）。

• 安全公告披露0day利用的联盟扩大了

P0希望安全公告披露中加入0day利用的特别说明，现在这个联盟已经有Microsoft, Google Chrome和 Adobe，特别点名表扬了apache的加入。

点名批评了高通和ARM（android的出的0day都是你们写的代码导致的，但是你们家的安全公告里居然没有这些）。

文章中对收到的0day利用的信息，其实也就是谷歌，微软，Adobe还有Apple这四家，都进行了分析，主要列举了0day的漏洞一些技术细节，以及一些简单的数据分析。

比较有意思的是Apple和android部分，对Apple漏洞写了很多篇幅用了很多形容词，激动之情溢于言表，甚至都断错句了。但是到android部分，七个0day利用5个是硬件GPU导致的，剩下2个是linux上游带来的。这个数据是真就这样？还是有意为之就不得而知了。

在对未来展望部分P0也说了，2021年虽然收了58个0day，但是这些漏洞都很传统的，只有一个iMessage的属于IM软件类的。P0说他们知道攻击者对比如Whatsapp，Signal，Telegram等IM都很关注，肯定野外利用有不少，但是为啥P0都没收到？

另外P0也说针对比如云，cpu，手机硬件的攻击代码都没看到，觉得这些地方也应该有很多0day在外面飞，P0需要去加大收集力度。

这篇文章中反复提到P0拿到0day野外利用的情报来源是两个，检测和披露，但是通篇基本没提过怎么进行检测，检测那段只说供应商检测能力大大提高了，所以检测出来了很多0day野外利用，可是这个明显不能说是检测能力有进步，不知道P0是顾忌检测能力外露导致被攻击者绕过，从而故意隐藏什么。

P0在文章中遗憾的表示58个0day野外利用的情报，真拿到利用代码的只有5个，P0也说明了他们为啥要这样0day利用代码，因为他们需要通过对0day利用代码的分析来找出利用代码方法进行封堵，来提高0day利用代码编写难度。

另外P0希望大家能多多提供漏洞利用代码来供他们分析，结合整篇文章中通篇的都是分享和披露，让人感觉P0做这个0day野外利用收集只能全靠别人送？

文章中对很多0day野外利用的分析中，还指名道姓的关联到了具体的漏洞研究人员。比如分析ios漏洞时候就关联到了盘古家的研究人员，特别说明盘古分享的技术就是他们拿到0day野外利用代码中使用的技术。

在对安卓漏洞利用分析时候同样也关联到其他一些具体的安全人员，表示这些研究人员，他们研究方向和这些0day利用的方向一致。文字间表达就是那种虽然没有证据，但是就是怀疑你们没干好事。

不知道P0家出于什么目的进行这样的行文，让人看完感觉就是正好如果研究方向或者哪里分享过的技术细节和漏洞利用代码撞上了，就成了0day利用代码的开发嫌疑犯。

一方面P0鼓励说要分享漏洞利用技术让防御技术有所提高，但是一方面又用看嫌疑犯的眼光看这些安全研究人员。不知道P0家这位作者到底想干什么。

文章最后一段挺有意思特别，贴了原文注意标色段，说真的P0用这么多激扬分析文字，写截获的ios漏洞利用，但是居然连NSO的Pegasus都不敢点名说一下？只能这样和稀泥的把读者都给忽悠过去。

脑补画面是P0抓到0day一阵激动，溯源分析完正要发表分析报告，结果发现是某些不能说的部门正在做事，于是删除掉某些关键字，然后眨眨眼。

Through 2021 we continually saw the real world impacts of the use of 0-day exploits against users and entities. Amnesty International, the Citizen Lab, and others highlighted over and over how governments were using commercial surveillance products against journalists, human rights defenders, and government officials. We saw many enterprises scrambling to remediate and protect themselves from the Exchange Server 0-days. And we even learned of peer security researchers being targeted by North Korean government hackers. While the majority of people on the planet do not need to worry about their own personal risk of being targeted with 0-days, 0-day exploitation still affects us all. These 0-days tend to have an outsized impact on society so we need to continue doing whatever we can to make it harder for attackers to be successful in these attacks.

最后一点感想

读完全篇文章感慨良多，P0在针对0day攻击拦截思路，通过构造一个联盟，然后利用联盟内进行诸如情报同步，漏洞代码分享，一些通用漏洞缓解技术的推广使用。

然后通过这些情报代码进行整理分析，整理出对漏洞利用方法的封堵，或者打断利用链条的关键部分，通过这些方法来提高0day利用代码编写的门槛或者提高0day的漏洞挖掘的门槛，这样来压制0day攻击的目的。

站在一个做企业人员角度来说，应该说这个想法非常不错，起码比传统堆积足够的多0day特征或者某些特别检测模式来防御0day的思路，有很大的进步。

不过这个方式局限性也很大，首先联盟组织就是个问题，毕竟愿意买账的公司就没几个，高通和arm就不鸟P0，更别说Apple了。然后想让大家把0day代码主动分享出来这就更不现实了，从报告列表里面就能看出来基本也就那几家分享，想让很多乙方把这些核心竞争力分享出来，这也不太现实。最后P0把安全研究人员当嫌疑犯去跟踪，这不是逼着以后大家都把代码和技术都藏起来。

原文链接：https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html

原文始发于微信公众号（大海里的废话集合）：读谷歌2021年0day野外利用回顾的一点感想