0
0
Pesquisa do Google mostrou que essa parcela é o resultado de correções que não foram feitas adequadamente
A equipe do Projeto Zero do Google identificou 24 zero days sendo exploradas por cibercriminosos em 2020. Um quarto dos problemas que elas causaram poderia ter sido evitado se os fornecedores corrigissem seus produtos de maneira adequada, disseram os especialistas.
Seis eram variações de vulnerabilidades descobertas em anos anteriores, quando os invasores tiveram acesso a relatórios de vulnerabilidades, o que lhes permitiu estudar o problema e implantar uma nova versão do exploit. De acordo com os especialistas, em alguns casos bastava alterar uma ou duas linhas de código para obter um novo exploit funcional.
Conforme observado por eles, os primeiros patches para vulnerabilidades de zero day no Chrome (CVE-2020-6572), Internet Explorer (CVE-2020-0674) e Windows ( CVE-2020-0986 ) exigiram correções adicionais. Se um invasor analisasse os dados do patch, poderia facilmente criar novos exploits, explorar novamente a mesma vulnerabilidade e continuar seus ataques.
Os pesquisadores relataram que essas situações poderiam ter sido evitadas se os fornecedores investigassem mais de perto a causa raiz do problema e investissem mais no processo de remediação.
FONTE: CISO ADVISOR