Selon la chercheuse en sécurité Google Maddie Stone, les développeurs de logiciels doivent cesser de fournir des correctifs zero-day défectueux. Lors d'une présentation lors de la L'énigme d'USENIX 2021 conférence virtuelle, le chercheur a partagé un aperçu des exploits zero-day détectés l'année dernière.
Les failles Zero-Day ne sont pas correctement corrigées par les éditeurs de logiciels
Vulnérabilités zero-day peut être exploité pendant des périodes plus longues, les rendant plutôt dangereux. Vingt-quatre de ces défauts ont été détectés dans 2020, quatre de plus que le nombre détecté dans 2019.
Stone a remarqué que six des 24 zéro jour de 2020 étaient des variantes de défauts précédemment divulgués. En outre, trois des défauts ont été corrigés de manière incomplète, permettant aux acteurs de la menace de créer facilement des exploits. Le problème est que la publication de correctifs partiels crée des opportunités pour les pirates de mener leurs attaques malveillantes.
Comment le chercheur est-il arrivé à cette conclusion?
“Nous ne demandons pas aux attaquants de proposer toutes les nouvelles classes de bogues, pour développer une toute nouvelle exploitation, pour regarder du code qui n'a jamais été recherché auparavant. Nous autorisons la réutilisation de nombreuses vulnérabilités différentes que nous connaissions auparavant,” dit-elle lors de sa présentation.
Certains des cas impliquant l'utilisation répétée des mêmes exploits incluent des attaques contre le moteur JScript hérité de Microsoft dans le navigateur Internet Explorer. Microsoft a dû résoudre le problème Bogue CVE-2018-8653 après avoir reçu un rapport de Google sur une nouvelle vulnérabilité utilisée dans des attaques ciblées.
La vulnérabilité pourrait permettre l'exécution de code arbitraire. En fonction des privilèges de l'utilisateur, un attaquant pourrait exécuter une variété d'activités malveillantes telles que l'installation de programmes, vue, changement, ou supprimer des données, ou même créer de nouveaux comptes avec les droits d'utilisateur complet.
Vient ensuite le zero-day CVE-2019-1367, permettant aux acteurs de la menace d'effectuer des attaques à distance pour accéder à un système. La vulnérabilité était un problème de corruption de la mémoire du moteur de script découvert par Clément Lecigne du groupe d'analyse des menaces de Google..
Un autre jour zéro, CVE-2019-1429, a été divulgué en novembre 2019, suivi d'un autre en janvier 2020, avec CVE-2020-0674. Le dernier patch de la série zero-day a eu lieu en avril 2020, avec le patch adressant CVE-2020-0968.
D'après l'analyse des menaces de Google, le même attaquant a exploité les quatre jours zéro mentionnés ci-dessus. Et ils sont assez liés les uns aux autres, Les recherches de Stone prouvent, conduisant à une condition d'utilisation après utilisation.
Correctifs complets nécessaires
“Nous avons besoin de correctifs corrects et complets pour toutes les vulnérabilités de nos fournisseurs,” Stone a souligné dans sa présentation. La chercheuse a également mis ses collègues au défi de donner un coup de main en effectuant une analyse des variantes pour rassurer un patch complet et complet.. En faisant cela, les chercheurs et les analystes de menaces compliqueront considérablement l'exploitation du code vulnérable.