Casa > cibernético Notícias > Erros de dia zero, geralmente causados ​​por patches de segurança defeituosos
CYBER NEWS

Erros de dia zero, geralmente causados ​​por patches de segurança defeituosos

código de pesquisaDe acordo com a pesquisadora de segurança do Google, Maddie Stone, os desenvolvedores de software devem parar de fornecer patches de dia zero com defeito. Em uma apresentação durante o Enigma da USENIX 2021 conferência virtual, o pesquisador compartilhou uma visão geral dos exploits de dia zero detectados no ano passado.

Falhas de dia zero não corrigidas corretamente por fornecedores de software

vulnerabilidades zero-day pode ser explorado por períodos de tempo mais longos, tornando-os bastante perigosos. Vinte e quatro dessas falhas foram detectadas em 2020, quatro a mais do que o número detectado em 2019.

Stone percebeu que seis das 24 zero dias de 2020 eram variantes de falhas anteriormente divulgadas. além disso, três das falhas foram corrigidas de forma incompleta, tornando mais fácil para os agentes de ameaças criarem exploits. O problema é que a liberação de patches parciais cria oportunidades para os hackers realizarem seus ataques maliciosos.




Como o pesquisador chegou a essa conclusão?

“Não exigimos que os invasores apresentem todas as novas classes de bug, para desenvolver uma nova exploração, para olhar para um código que nunca foi pesquisado antes. Estamos permitindo a reutilização de muitas vulnerabilidades diferentes que conhecíamos anteriormente,” ela disse durante sua apresentação.

Alguns dos casos que envolvem o uso repetido das mesmas explorações incluem ataques contra o mecanismo JScript legado da Microsoft no navegador Internet Explorer. A Microsoft teve que resolver o Bug CVE-2018-8653 depois de receber um relatório do Google sobre uma nova vulnerabilidade sendo usada em ataques direcionados.

A vulnerabilidade pode permitir a execução arbitrária de código. Dependendo dos privilégios do usuário, um invasor pode realizar uma variedade de atividades maliciosas, como instalar programas, Visão, mudança, ou dados de exclusão, ou até mesmo criar novas contas com direitos totais de usuário.

Em seguida, vem o dia zero CVE-2019-1367, permitindo que os agentes da ameaça executem ataques remotos para obter acesso a um sistema. A vulnerabilidade era um problema de corrupção de memória do mecanismo de script descoberto por Clément Lecigne do Grupo de Análise de Ameaças do Google.

Outro dia zero, CVE-2019-1429, foi divulgado em novembro 2019, seguido por outro em janeiro 2020, com CVE-2020-0674. O patch final da série zero-day aconteceu em abril 2020, com o patch endereçando CVE-2020-0968.

De acordo com a análise de ameaças do Google, o mesmo invasor explorou todos os quatro dias zero mencionados acima. E eles são bastante relacionados entre si, A pesquisa de Stone prova, levando a uma condição de uso após livre.

Patches abrangentes necessários

“Precisamos de patches corretos e abrangentes para todas as vulnerabilidades de nossos fornecedores,” Stone apontou em sua apresentação. A pesquisadora também desafiou seus colegas a dar uma mão, realizando uma análise de variantes para assegurar um patch completo e abrangente. Ao fazê-lo, pesquisadores e analistas de ameaças tornarão muito mais desafiador para os invasores explorar códigos vulneráveis.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo