0
0
Metade dos zero days descobertos pelo Project Zero do Google em 2022 são variações de vulnerabilidades já corrigidas antes
Maddie Stone, a gerente do Project Zero, do Google, publicou ontem um post informando que no primeiro semestre deste ano foram descobertos 18 zero days sendo explorados à vontade na Internet. Mas ela alertou que metade deles “são variantes de vulnerabilidades corrigidas anteriormente. Pelo menos metade dos zero days que vimos nos primeiros seis meses de 2022 poderiam ter sido evitados com testes de correção e regressão mais abrangentes. Além disso, quatro são variantes dos zero days de 2021”. Nesse caso, segundo ela, apenas 12 meses após o patch sobre o original, os invasores voltaram com uma variante do bug.
“Quando as pessoas pensam em exploits de dia 0, muitas vezes pensam que esses exploits são tão tecnologicamente avançados que não há esperança de pegá-los e evitá-los. Os dados pintam uma imagem diferente. Pelo menos metade dos 0 dias que vimos até agora este ano estão intimamente relacionados a bugs que vimos antes. Nossa conclusão e descobertas no relatório de revisão anual de 2020 foram muito semelhantes”, comentou Maddie.
Muitos dos zero days de 2022 se devem ao fato de a vulnerabilidade anterior não ter sido totalmente corrigida, diz ela. No caso dos bugs do Windows win32k e do interceptor de acesso à propriedade Chromium, o fluxo de execução que as explorações de prova de conceito levaram foi corrigido, mas o problema de causa raiz não foi resolvido: os invasores conseguiram voltar e acionar a vulnerabilidade original por um caminho diferente. E no caso dos problemas do WebKit e do Windows PetitPotam, a vulnerabilidade original já havia sido corrigida, mas em algum momento regrediu para que os invasores pudessem explorar a mesma vulnerabilidade novamente. No bug IOMobileFrameBuffer do iOS, um estouro de buffer foi resolvido verificando se um tamanho era menor que um determinado número, mas não verificava um limite mínimo nesse tamanho
Quando explorações de dia 0 são detectadas em estado selvagem, é o caso de falha para um invasor, afirma Maddie: “É um presente para nós, defensores da segurança, aprender o máximo que pudermos e tomar medidas para garantir que esse vetor não possa ser usado novamente. O objetivo é forçar os invasores a começar do zero cada vez que detectamos uma de suas façanhas: eles são forçados a descobrir uma vulnerabilidade totalmente nova, eles precisam investir tempo para aprender e analisar uma nova superfície de ataque, eles devem desenvolver uma marca novo método de exploração. Para fazer isso de forma eficaz, precisamos de correções corretas e abrangentes”.
O relatório de Maddie Stone está em “hxxps://googleprojectzero.blogspot.com/2022/06/2022-0-day-in-wild-exploitationso-far.html”
FONTE: CISO ADVISOR