Уязвимость нулевого дня.

Уязвимость нулевого дня получила своё название потому, что у защитников «ноль дней» на подготовку исправления к моменту её появления. Такие уязвимости высоко ценятся: правительства, брокеры эксплойтов и преступные группы платят шести- и семизначные суммы за рабочие эксплойты, а APT-группы применяют их для скрытных проникновений.

Два случая показывают весь спектр. Stuxnet (2010) объединил в цепочку четыре ранее неизвестные Windows-уязвимости нулевого дня — включая уязвимость в LNK-ярлыках CVE-2010-2568 — чтобы распространяться в офлайн-средах и выводить из строя иранские центрифуги по обогащению урана. FORCEDENTRY (CVE-2021-30860), исправленная Apple в сентябре 2021 года, представляла собой уязвимость нулевого клика типа переполнения целого числа в парсере изображений CoreGraphics, которую Pegasus от NSO Group использовала для компрометации iPhone вообще без какого-либо взаимодействия с пользователем. Threat Analysis Group компании Google в последние годы фиксирует рекордное число уязвимостей нулевого дня, эксплуатируемых в реальных атаках, причём большинство — в браузерах, мобильных ОС и устройствах безопасности.

Защита от уязвимостей нулевого дня опирается на эшелонированные меры: меры противодействия эксплуатации (ASLR, CFG/CET, песочницы), поведенческое обнаружение постэксплуатационной активности средствами EDR/XDR, сегментацию сети, виртуальные патчи через WAF/IPS и быстрое скоординированное раскрытие после обнаружения уязвимости исследователями. Как только вендор выпускает исправление, проблема становится n-day-уязвимостью — всё ещё опасной, пока все не установят патч.

flowchart LR
  A[Уязвимость существует, вендор не знает] --> B[Злоумышленник её обнаруживает]
  B --> C[Превращение в эксплойт]
  C --> D[Эксплуатация в реальных атаках]
  D --> E[Вендор узнаёт об атаках]
  E --> F[Выпуск патча]
  F --> G[Теперь это n-day-уязвимость]