De acordo com a pesquisadora de segurança do Google, Maddie Stone, os desenvolvedores de software devem parar de fornecer patches de dia zero com defeito. Em uma apresentação durante o Enigma da USENIX 2021 conferência virtual, o pesquisador compartilhou uma visão geral dos exploits de dia zero detectados no ano passado.
Falhas de dia zero não corrigidas corretamente por fornecedores de software
vulnerabilidades zero-day pode ser explorado por períodos de tempo mais longos, tornando-os bastante perigosos. Vinte e quatro dessas falhas foram detectadas em 2020, quatro a mais do que o número detectado em 2019.
Stone percebeu que seis das 24 zero dias de 2020 eram variantes de falhas anteriormente divulgadas. além disso, três das falhas foram corrigidas de forma incompleta, tornando mais fácil para os agentes de ameaças criarem exploits. O problema é que a liberação de patches parciais cria oportunidades para os hackers realizarem seus ataques maliciosos.
Como o pesquisador chegou a essa conclusão?
“Não exigimos que os invasores apresentem todas as novas classes de bug, para desenvolver uma nova exploração, para olhar para um código que nunca foi pesquisado antes. Estamos permitindo a reutilização de muitas vulnerabilidades diferentes que conhecíamos anteriormente,” ela disse durante sua apresentação.
Alguns dos casos que envolvem o uso repetido das mesmas explorações incluem ataques contra o mecanismo JScript legado da Microsoft no navegador Internet Explorer. A Microsoft teve que resolver o Bug CVE-2018-8653 depois de receber um relatório do Google sobre uma nova vulnerabilidade sendo usada em ataques direcionados.
A vulnerabilidade pode permitir a execução arbitrária de código. Dependendo dos privilégios do usuário, um invasor pode realizar uma variedade de atividades maliciosas, como instalar programas, Visão, mudança, ou dados de exclusão, ou até mesmo criar novas contas com direitos totais de usuário.
Em seguida, vem o dia zero CVE-2019-1367, permitindo que os agentes da ameaça executem ataques remotos para obter acesso a um sistema. A vulnerabilidade era um problema de corrupção de memória do mecanismo de script descoberto por Clément Lecigne do Grupo de Análise de Ameaças do Google.
Outro dia zero, CVE-2019-1429, foi divulgado em novembro 2019, seguido por outro em janeiro 2020, com CVE-2020-0674. O patch final da série zero-day aconteceu em abril 2020, com o patch endereçando CVE-2020-0968.
De acordo com a análise de ameaças do Google, o mesmo invasor explorou todos os quatro dias zero mencionados acima. E eles são bastante relacionados entre si, A pesquisa de Stone prova, levando a uma condição de uso após livre.
Patches abrangentes necessários
“Precisamos de patches corretos e abrangentes para todas as vulnerabilidades de nossos fornecedores,” Stone apontou em sua apresentação. A pesquisadora também desafiou seus colegas a dar uma mão, realizando uma análise de variantes para assegurar um patch completo e abrangente. Ao fazê-lo, pesquisadores e analistas de ameaças tornarão muito mais desafiador para os invasores explorar códigos vulneráveis.