0
0
Até agora, este ano, um total de 18 vulnerabilidades de segurança foram exploradas como zero-dias sem correção na natureza, de acordo com uma análise – e metade delas eram falhas evitáveis.
De acordo com o Project Zero do Google, nove dos problemas eram simplesmente variantes de bugs corrigidos anteriormente, com quatro sendo variantes de bugs de dia zero selvagens anteriores de 2021. Como estes estão intimamente relacionados às fraquezas de segurança que já foram vistas antes, isso abre um buraco na teoria de que as façanhas de dia zero são tão avançadas que os defensores não podem esperar pegá-las, observa Maddie Stone, do Project Zero.
“[Depois] que o zero-day original no selvagem [foi] corrigido, os atacantes voltaram com uma variante do bug original”, explica ela em uma postagem no blog de quinta-feira. “Muitos dos 0 dias de 2022 estão desapercendo devido à vulnerabilidade anterior não ter sido totalmente corrigida.”
A lista de 2022 zero-dias afeta uma ampla gama de plataformas, incluindo Apple iOS, Atlassian Confluence, Chromium, Google Pixel, Linux, WebKit e, é claro, Windows (incluindo os vulns Follina e PetitPotam).
Em alguns desses casos (Windows win32k e Chromium), o caminho de ataque de prova de conceito foi corrigido, mas não a causa raiz, para que os atacantes pudessem acionar a vulnerabilidade original através de um caminho diferente. Em outros casos, como o PetitPotam, a vulnerabilidade original foi corrigida, mas “em algum momento regrediu para que os atacantes pudessem explorar a mesma vulnerabilidade novamente”, diz Stone.
“O objetivo é forçar os atacantes a começar do zero toda vez que detectamos uma de suas façanhas: eles são forçados a descobrir uma vulnerabilidade totalmente nova, eles têm que investir o tempo no aprendizado e na análise de uma nova superfície de ataque, eles devem desenvolver um novo método de exploração”, diz ela. “Para fazer isso de forma eficaz, precisamos de correções corretas e abrangentes.”
FONTE: DARK READING