零日漏洞.

零日漏洞之所以得名,是因为当它浮现时,防御方"没有任何天数"来准备修复。这类漏洞极具价值:政府、漏洞经纪人和犯罪团伙会为可用的利用代码支付六位数乃至七位数的报酬,APT 攻击者也常将其用于隐蔽入侵。

两个案例展示了这一谱系的两端。震网(Stuxnet)(2010 年)串联了四个此前未知的 Windows 零日漏洞——包括 LNK 快捷方式缺陷 CVE-2010-2568——以便在离线环境中传播并破坏伊朗的铀浓缩离心机。FORCEDENTRY(CVE-2021-30860)由 Apple 于 2021 年 9 月修补,是 CoreGraphics 图像解析器中的一个零点击整数溢出漏洞,NSO Group 的 Pegasus 利用它在完全无需用户交互的情况下攻陷 iPhone。Google 的威胁分析小组(TAG)记录到近年来在野利用的零日漏洞数量创下纪录,其中大多数集中在浏览器、移动操作系统和安全设备上。

防御零日漏洞依赖分层控制:利用缓解措施(ASLR、CFG/CET、沙箱)、基于行为的 EDR/XDR 对利用后活动的检测、网络分段、通过 WAF/IPS 实施的虚拟补丁,以及研究人员发现后迅速的协同披露。一旦厂商发布修复,该问题就转变为 N-day 漏洞——在所有人完成修补之前,它依然危险。

flowchart LR
  A[缺陷存在,厂商未察觉] --> B[攻击者发现该缺陷]
  B --> C[武器化为利用代码]
  C --> D[在野利用]
  D --> E[厂商获悉攻击]
  E --> F[发布补丁]
  F --> G[现已成为 N-day 漏洞]