0
0
N-days funcionando como zero-days
Zero-days são bugs de software que são desconhecidos para o fornecedor, mas conhecidos por – e explorados por – agentes de ameaças. Eles se tornam n-dias quando sua existência é tornada pública, com ou sem um patch disponível.
O problema é considerável no ecossistema Android, já que a equipe de segurança do Android do Google geralmente envia patches rapidamente para dias zero, mas os fabricantes de equipamentos originais (OEMs) downstream podem demorar um pouco para liberar uma correção para os usuários aplicarem.
“Este é um ótimo caso para os atacantes. Os invasores podem usar o conhecido bug de n dias, mas fazê-lo funcionar operacionalmente como um dia 0, pois funcionará em todos os dispositivos afetados”, observou Maddie Stone, pesquisadora de segurança do Threat Analysis Group (TAG) do Google.
Descobertas adicionais
O relatório revelou que 41 dias 0 na natureza foram detectados e divulgados em 2022, mostrando uma queda em relação aos 69 relatados em 2021.
Além disso, o número de navegadores de segmentação de 0 dias in-the-wild caiu 42% de 2021 a 2022. Isso pode ser devido aos navegadores terem se tornado mais resilientes, mas também devido a mudanças no comportamento do invasor, postula o Google.
“Muitos invasores estão migrando para explorações de 0 clique em vez de 1 clique. 0-cliques geralmente visam outros componentes além do navegador”, observou Stone.
Mas o que é ainda mais preocupante é que mais de 40% dos dias 0 descobertos em 2022 eram variantes de vulnerabilidades que já foram relatadas, mas corrigidas inadequadamente.
O objetivo deve ser tornar a exploração de 0 dias mais difícil, corrigindo -os de forma correta e abrangente.
“Consideramos um patch completo apenas quando é correto e abrangente. Um patch correto é aquele que corrige um bug com total precisão, o que significa que o patch não permite mais nenhuma exploração da vulnerabilidade. Um patch abrangente aplica essa correção em todos os lugares que precisam ser aplicados, cobrindo todas as variantes”, explicou Stone.
“Ao explorar uma única vulnerabilidade ou bug, geralmente há várias maneiras de acionar a vulnerabilidade ou vários caminhos para acessá-la. Muitas vezes, vemos os fornecedores bloquearem apenas o caminho mostrado na prova de conceito ou na amostra de exploração, em vez de corrigir a vulnerabilidade como um todo. Da mesma forma, os pesquisadores de segurança geralmente relatam bugs sem acompanhar como o patch funciona e explorar ataques relacionados.”
Por fim, 2022 também foi marcado por agentes de ameaças descobrindo e explorando a mesma vulnerabilidade de dia 0.
“Nos últimos dois anos, percebemos uma tendência de um alto número de colisões de bugs, onde mais de um pesquisador encontrou a mesma vulnerabilidade. Isso está acontecendo entre invasores e pesquisadores de segurança que estão relatando os bugs aos fornecedores”, observou Stone .
Espaço para melhorias
Apesar das melhorias consideráveis mostradas nas descobertas, ainda há muito o que se ter em mente quando se trata de lidar com vulnerabilidades e garantir a segurança do sistema.
Para proteger adequadamente os usuários, fornecer patches rapidamente é crucial. Também é importante realizar uma análise de causa raiz da vulnerabilidade e compartilhar detalhes técnicos.
Finalmente, as vulnerabilidades relatadas devem ser usadas como oportunidades de aprendizado para melhorar a compreensão e abordá-las de forma eficaz.
“Nada disso é fácil, nem é uma surpresa para as equipes de segurança que atuam neste espaço. Requer investimento, priorização e desenvolvimento de um processo de correção que equilibre a proteção rápida dos usuários e a garantia de que seja abrangente, o que às vezes pode ser tenso”, concluiu Stone.
FONTE: HELP NET SECURITY