Googleのセキュリティ研究者MaddieStoneによると, ソフトウェア開発者は、欠陥のあるゼロデイパッチの配信を停止する必要があります. 中のプレゼンテーションで USENIXの謎 2021 バーチャルカンファレンス, 研究者は、昨年検出されたゼロデイエクスプロイトの概要を共有しました.
ソフトウェアベンダーによって適切にパッチが適用されていないゼロデイ欠陥
ゼロデイ脆弱性 より長期間悪用される可能性があります, それらをかなり危険なものにします. 24のそのような欠陥が検出されました 2020, で検出された数より4つ多い 2019.
ストーンは、 24 ゼロデイ 2020 以前に開示された欠陥の変形でした. さらに, 欠陥の3つは不完全にパッチされました, 脅威アクターがエクスプロイトを簡単に作成できるようにする. 問題は、部分的なパッチをリリースすると、ハッカーが悪意のある攻撃を実行する機会が生まれることです。.
研究者はどのようにしてその結論に達しましたか?
“攻撃者がすべての新しいバグクラスを考え出す必要はありません, 真新しい搾取を開発する, これまで研究されたことのないコードを見る. 以前に知っていたさまざまな脆弱性の再利用を許可しています,” 彼女はプレゼンテーション中に言った.
同じエクスプロイトを繰り返し使用するケースには、InternetExplorerブラウザでのMicrosoftのレガシーJScriptエンジンに対する攻撃が含まれます。. マイクロソフトは、 CVE-2018-8653バグ 標的型攻撃で使用されている新しい脆弱性に関するGoogleからのレポートを受け取った後.
この脆弱性により、任意のコードが実行される可能性があります. ユーザーの権限に応じて, 攻撃者は、プログラムのインストールなど、さまざまな悪意のあるアクティビティを実行する可能性があります, 見る, 変化する, またはデータを削除します, または、完全なユーザー権限で新しいアカウントを作成することもできます.
次に、CVE-2019-1367ゼロデイが発生します, 脅威アクターがリモート攻撃を実行して、システムを介してアクセスできるようにする. この脆弱性は、Googleの脅威分析グループのClémentLecigneによって発見されたスクリプトエンジンのメモリ破損の問題でした。.
別のゼロデイ, CVE-2019-1429, 11月に公開されました 2019, 1月にもう1つ続く 2020, CVE-2020-0674を使用. ゼロデイシリーズの最後のパッチは4月に発生しました 2020, CVE-2020-0968に対応するパッチを使用.
Googleの脅威分析によると, 同じ攻撃者が、上記のゼロデイの4つすべてを悪用しました. そして、それらは互いにかなり関連しています, ストーンの研究は証明します, 解放後使用状態につながる.
必要な包括的なパッチ
“ベンダーからのすべての脆弱性に対して、正確で包括的なパッチが必要です,” ストーンは彼女のプレゼンテーションで指摘しました. 研究者はまた、徹底的で包括的なパッチを安心させるためにバリアント分析を実行することによって、彼女の同僚に手を差し伸べるように挑戦しました. そうすることによって, 研究者や脅威アナリストは、攻撃者が脆弱なコードを悪用することをはるかに困難にします.