Ifølge Googles sikkerhedsforsker Maddie Stone, softwareudviklere bør stoppe med at levere fejlbehæftede nul-dages rettelser. I en præsentation under USENIX's Enigma 2021 virtuel konference, forskeren delte en oversigt over de nul-dages udnyttelser, der blev opdaget sidste år.
Zero-Day fejl, der ikke rettes korrekt af softwareleverandører
Nul-dags sårbarheder kan udnyttes i længere perioder, gør dem ret farlige. Fireogtyve sådanne fejl blev opdaget i 2020, fire mere end antallet registreret i 2019.
Stone bemærkede, at seks ud af 24 nul-dage af 2020 var varianter af tidligere afslørede fejl. Endvidere, tre af manglerne blev plettet ufuldstændigt, hvilket gør det let for trusselsaktører at skabe bedrifter. Problemet er, at frigivelse af delvise programrettelser skaber muligheder for hackere til at udføre deres ondsindede angreb.
Hvordan nåede forskeren den konklusion?
“Vi kræver ikke, at angribere finder på alle nye bugklasser, at udvikle helt ny udnyttelse, at se på kode, der aldrig er undersøgt før. Vi tillader genbrug af mange forskellige sårbarheder, som vi tidligere vidste om,” sagde hun under sin præsentation.
Nogle af de sager, der involverer gentagen brug af de samme udnyttelser, inkluderer angreb på Microsofts ældre JScript-motor i Internet Explorer-browseren. Microsoft måtte adressere CVE-2018-8653 fejl efter en rapport fra Google om en ny sårbarhed bliver brugt i målrettede angreb.
Sårbarheden kan muliggøre udførelse af vilkårlig kode. Afhængigt af brugerens privilegier, en angriber kunne udføre en række ondsindede aktiviteter som installere programmer, visning, lave om, eller slette data, eller endda oprette nye konti med komplette brugerrettigheder.
Derefter kommer CVE-2019-1367 zero-day, tillader trusselsaktører at udføre fjernangreb for at få adgang over et system. Sårbarheden var et problem med korruption af scriptmotorhukommelse opdaget af Clément Lecigne fra Googles Threat Analysis Group.
Endnu en nul-dag, CVE-2019-1429, blev offentliggjort i november 2019, efterfulgt af en anden i januar 2020, med CVE-2020-0674. Den sidste opdatering af nul-dages-serien skete i april 2020, med programrettelsen, der adresserer CVE-2020-0968.
Ifølge Googles trusselsanalyse, den samme angriber udnyttede alle fire af de ovennævnte nul-dage. Og de er ret beslægtede med hinanden, Stones forskning beviser, hvilket fører til en brug-efter-fri tilstand.
Omfattende programrettelser nødvendige
“Vi har brug for korrekte og omfattende rettelser til alle sårbarheder fra vores leverandører,” Stone påpegede i sin præsentation. Forskeren udfordrede også sine kolleger til at give en hånd ved at udføre variantanalyse for at berolige en grundig og omfattende patch. Ved at gøre det, forskere og trusselsanalytikere vil gøre det meget mere udfordrende for angribere at udnytte sårbar kode.