Volgens Google-beveiligingsonderzoeker Maddie Stone, softwareontwikkelaars moeten stoppen met het leveren van defecte zero-day-patches. In een presentatie tijdens de USENIX's Enigma 2021 virtuele conferentie, de onderzoeker deelde een overzicht van de zero-day exploits die vorig jaar zijn ontdekt.
Zero-day-gebreken die niet goed zijn gepatcht door softwareleveranciers
Zero-day kwetsbaarheden kan voor langere tijd worden uitgebuit, waardoor ze nogal gevaarlijk zijn. Vierentwintig van dergelijke fouten werden gedetecteerd in 2020, vier meer dan het aantal gedetecteerd in 2019.
Stone merkte op dat zes van de 24 nul dagen van 2020 waren varianten van eerder onthulde gebreken. Bovendien, drie van de gebreken zijn onvolledig hersteld, waardoor het voor dreigingsactoren gemakkelijk wordt om exploits te creëren. Het probleem is dat het vrijgeven van gedeeltelijke patches voor hackers kansen biedt om hun kwaadaardige aanvallen uit te voeren.
Hoe kwam de onderzoeker tot die conclusie??
“We vereisen niet dat aanvallers met alle nieuwe bugklassen komen, om een gloednieuwe exploitatie te ontwikkelen, om naar code te kijken die nog nooit eerder is onderzocht. We staan het hergebruik toe van veel verschillende kwetsbaarheden waarvan we eerder wisten,” zei ze tijdens haar presentatie.
Enkele van de gevallen met herhaald gebruik van dezelfde exploits zijn onder meer aanvallen op de verouderde JScript-engine van Microsoft in de browser Internet Explorer. Microsoft moest het CVE-2018-8653-bug na het ontvangen van een rapport van Google over een nieuwe kwetsbaarheid wordt gebruikt in gerichte aanvallen.
Door het beveiligingslek kan willekeurige code worden uitgevoerd. Afhankelijk van de rechten van de gebruiker, Een aanvaller kan een verscheidenheid van kwaadaardige activiteiten uit te voeren, zoals programma's installeren, view, verandering, of wissen, of zelfs nieuwe accounts met volledige gebruikersrechten maken.
Dan komt de CVE-2019-1367 zero-day, waardoor bedreigingsactoren aanvallen op afstand kunnen uitvoeren om toegang te krijgen via een systeem. De kwetsbaarheid was een probleem met geheugenbeschadiging in de scripting-engine, ontdekt door Clément Lecigne van de Threat Analysis Group van Google.
Nog een zero-day, CVE-2019-1429, werd in november bekendgemaakt 2019, gevolgd door nog een in januari 2020, met CVE-2020-0674. De laatste patch van de zero-day-serie vond plaats in april 2020, met de patch voor CVE-2020-0968.
Volgens de dreigingsanalyse van Google, dezelfde aanvaller maakte misbruik van alle vier de bovengenoemde zero-days. En ze zijn nogal aan elkaar verwant, Stone's onderzoek bewijst, wat leidt tot een gebruiksvrije toestand.
Uitgebreide patches nodig
“We hebben correcte en uitgebreide patches nodig voor alle kwetsbaarheden van onze leveranciers,” Zei Stone in haar presentatie. De onderzoeker daagde haar collega's ook uit om een handje te helpen door variantanalyse uit te voeren om een grondige en uitgebreide patch gerust te stellen. Hierdoor, onderzoekers en dreigingsanalisten zullen het voor aanvallers veel uitdagender maken om kwetsbare code te misbruiken.