Google Project Zero ha definito il 2021 un “anno record per le vulnerabilità 0-day”, poiché nel corso dell’anno sono state rilevate e divulgate 58 vulnerabilità di sicurezza.
Per chi non lo sapesse, Google Project Zero è un team di Google formato da analisti di sicurezza informatica che si occupa dell’individuazione di vulnerabilità zero-day (cioè di vulnerabilità scoperte per la prima volta, senza che siano quindi siano state studiate contromisure per queste falle di sicurezza).
Record di vulnerabilità zero-day registrate: perché?
Lo sviluppo segna un salto di oltre due volte dal massimo precedente quando sono stati monitorati 28 exploit di 0 giorni nel 2015. Al contrario, nel 2020 sono stati rilevati solo 25 exploit di 0 giorni.
“Il grande aumento degli 0-day nel 2021 è dovuto a un maggiore capacità di rilevazione di queste particolari vulnerabilità, piuttosto che semplicemente a un maggiore utilizzo degli exploit 0-day“, ha affermato Maddie Stone, ricercatrice sulla sicurezza di Google Project Zero.
“Gli attaccanti stanno avendo successo utilizzando gli stessi bug e tecniche di sfruttamento, perseguendo le stesse superfici di attacco“, ha aggiunto Stone.
Analisi degli 0-day rilevati nel 2021
Il team di sicurezza interno del gigante della tecnologia ha caratterizzato gli exploit come simili a vulnerabilità precedenti e pubblicamente note, con solo due di esse notevolmente diverse per la sofisticatezza tecnica e l’uso di bug logici per sfuggire alla sandbox.
Entrambi si riferiscono a Forcedentry, un exploit iMessage attribuito alla società israeliana di software di sorveglianza NSO Group. “L’exploit è stato un’opera d’arte impressionante“, ha detto Stone.
L’escape sandbox è “notevole per l’utilizzo solo di bug logici“, hanno spiegato il mese scorso i ricercatori di Google Project Zero Ian Beer e Samuel Gross. “L’aspetto più sorprendente è la profondità della superficie di attacco“.
Un’analisi della piattaforma di questi exploit mostra che la maggior parte degli 0-day proveniva da Chromium (14), seguito da Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) e Internet Explorer (4).
Dei 58 giorni 0-in-the-wild osservati nel 2021, 39 erano vulnerabilità di danneggiamento della memoria, con bug use-after-free (17), lettura e scrittura fuori limite (6), Errori di overflow del buffer (4) e di integer overflow (4).
Vale anche la pena notare che 13 dei 14 giorni di Chromium 0 erano vulnerabilità di danneggiamento della memoria, la maggior parte delle quali, a sua volta, erano vulnerabilità use-after-free.
App di messaggistica & C. (apparentemente) senza 0-day
Google Project Zero ha evidenziato la mancanza di esempi pubblici che evidenzino lo sfruttamento in natura di vulnerabilità 0-day in app di messaggistica come WhatsApp, Signal e Telegram, nonché altri componenti, inclusi i core della CPU, i chip Wi-Fi, e il cloud.
“Questo porta alla domanda se questi 0 giorni siano assenti a causa della mancanza capacità di rilevazione, mancanza di pubblicizzazione di queste vulnerabilità o entrambi?“, ha detto Stone, aggiungendo: “Come settore non stiamo rendendo difficile lo 0-day“.
“Creare un 0-day sarà più difficile quando, nel complesso, gli aggressori non saranno in grado di utilizzare metodi e tecniche pubbliche per sviluppare i loro exploit“, costringendoli “a ricominciare da zero ogni volta che rileveremo uno dei loro exploit“.
Ti è piaciuto questo articolo? Contatta Noi Sicurezza se sei interessato a una consulenza in materia di sicurezza informatica: