Secondo il ricercatore di sicurezza di Google Maddie Stone, gli sviluppatori di software dovrebbero smettere di fornire patch zero-day difettose. In una presentazione durante il Enigma di USENIX 2021 conferenza virtuale, il ricercatore ha condiviso una panoramica degli exploit zero-day rilevati lo scorso anno.
Difetti zero-day non risolti correttamente dai fornitori di software
Vulnerabilità zero-day può essere sfruttato per periodi di tempo più estesi, rendendoli piuttosto pericolosi. Ventiquattro di tali difetti sono stati rilevati in 2020, quattro in più rispetto al numero rilevato in 2019.
Stone ha notato che sei dei file 24 zero giorni di 2020 erano varianti di difetti precedentemente divulgati. Inoltre, tre dei difetti sono stati riparati in modo incompleto, semplificando la creazione di exploit per gli autori delle minacce. Il problema è che il rilascio di patch parziali crea opportunità per gli hacker di eseguire i loro attacchi dannosi.
Come è arrivato il ricercatore a questa conclusione?
“Non chiediamo agli aggressori di inventare tutte le nuove classi di bug, per sviluppare un nuovo sfruttamento, per guardare un codice che non è mai stato studiato prima. Stiamo consentendo il riutilizzo di molte vulnerabilità diverse di cui eravamo a conoscenza in precedenza,” ha detto durante la sua presentazione.
Alcuni dei casi che comportano l'uso ripetuto degli stessi exploit includono attacchi contro il motore JScript legacy di Microsoft nel browser Internet Explorer. Microsoft ha dovuto affrontare il problema Bug CVE-2018-8653 dopo aver ricevuto un rapporto da Google su una nuova vulnerabilità utilizzato in attacchi mirati.
La vulnerabilità potrebbe consentire l'esecuzione di codice arbitrario. A seconda dei privilegi dell'utente, un utente malintenzionato potrebbe eseguire una serie di attività dannose come ad esempio installare programmi, vista, modificare, o cancellare i dati, o addirittura creare nuovi account con diritti utente completi.
Poi arriva lo zero-day CVE-2019-1367, consentendo agli attori delle minacce di eseguire attacchi remoti per ottenere l'accesso su un sistema. La vulnerabilità era un problema di danneggiamento della memoria del motore di scripting scoperto da Clément Lecigne del Threat Analysis Group di Google.
Un altro zero-day, CVE-2019-1429, è stato divulgato a novembre 2019, seguito da un altro a gennaio 2020, con CVE-2020-0674. L'ultima patch della serie zero-day è avvenuta ad aprile 2020, con la patch indirizzata a CVE-2020-0968.
Secondo l'analisi delle minacce di Google, lo stesso aggressore ha sfruttato tutti e quattro gli zero-day menzionati sopra. E sono abbastanza legati l'uno all'altro, La ricerca di Stone lo dimostra, portando a una condizione di utilizzo post-libero.
Sono necessarie patch complete
“Abbiamo bisogno di patch corrette e complete per tutte le vulnerabilità dei nostri fornitori,” Stone ha sottolineato nella sua presentazione. La ricercatrice ha anche sfidato i suoi colleghi a dare una mano eseguendo analisi delle varianti per rassicurare una patch approfondita e completa. Così facendo, I ricercatori e gli analisti delle minacce renderanno molto più difficile per gli aggressori sfruttare il codice vulnerabile.