CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Google afirmă că jumătate dintre exploatările de tip zero-day sunt datorate actualizărilor de securitate defectuoase

Specialiștii de la Google Project Zero (GPZ) au numărat până în prezent 18 vulnerabilități de tip zero day în 2022 care afectează Microsoft Windows, Apple iOS și WebKit, Chromium și Pixel de la Google și serverul Confluence de la Atlassian. Jumătate dintre aceste vulnerabilități ar fi putut fi prevenite dacă principalii furnizori de software ar fi creat patch-uri mai amănunțite și ar fi efectuat mai multe teste.

De asemenea, potrivit GPZ, în acest an au existat doar patru vulnerabilități zero day unice și asta pentru că atacatorii pot modifica exploatările pentru a trece peste actualizările de securitate superficiale.

În 2021 au fost găsite mai multe zero-days decât în ultimii cinci ani. Cercetătorii ar putea să își îmbunătățească modalitățile de a detecta exploatările active. Pe de altă parte, bazele de date de coduri ale browser-elor au devenit la fel de complexe ca și sistemele de operare. De asemenea, browser-ele au devenit o țintă importantă, datorită dispariției unor extensii ale browser-elor precum Flash Player.

67% din cele 58 de vulnerabilități zero day exploatate activ în 2021 au fost de tipul memory corruption.

Echipa de securitate de la Chrome lucrează la soluții pentru erorile de memorie din codul browserului scris în C++, dar remedierile presupun un cost ce implică  performanță. Chrome nu poate fi rescris pur și simplu în Rust, care ar oferi garanții de siguranță a memoriei mai bune decât C și C++.

Multe dintre vulnerabilitățile zero-day din 2022 se datorează faptului că nu sunt remediate complet și corect. În cazul erorilor din Windows win32k și Chromium property access interceptor, fluxul de execuție pe care l-au urmat exploatările de tip proof-of-concept au fost remediate, dar cauza principală nu a fost remediată: atacatorii au putut și să declanșeze vulnerabilitatea originală printr-o cale diferită.

Iar în cazul WebKit și Windows PetitPotam, vulnerabilitatea originală fusese remediată, dar la un moment dat a stagnat, astfel încât atacatorii au putut exploata din nou aceeași vulnerabilitate.

Zero-days pe care GPZ le-a urmărit în acest an până la 15 iunie:

Product2022 ITW 0-dayVariant
Windows win32kCVE-2022-21882CVE-2021-1732 (2021 itw)
iOS IOMobileFrameBufferCVE-2022-22587CVE-2021-30983 (2021 itw)
WindowsCVE-2022-30190 („Follina”)CVE-2021-40444 (2021 itw)
Chromium property access interceptorsCVE-2022-1096CVE-2016-5128 CVE-2021-30551 (2021 itw) CVE-2022-1232 (Addresses incomplete CVE-2022-1096 fix)
Chromium v8CVE-2022-1364CVE-2021-21195
WebKitCVE-2022-22620 („Zombie”)Bug was originally fixed in 2013, patch was regressed in 2016
Google PixelCVE-2021-39793* * While this CVE says 2021, the bug was patched and disclosed in 2022Linux same bug in a different subsystem
Atlassian ConfluenceCVE-2022-26134CVE-2021-26084
WindowsCVE-2022-26925 („PetitPotam”)CVE-2021-36942 (Patch regressed)

Sursă: https://www.zdnet.com/article/google-half-of-zero-day-exploits-linked-to-poor-software-fixes/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică