Google Project Zero rileva un numero record di vulnerabilità zero-day nel 2021

google-project-zero-vulnerabilità-zero-day-2021
Condividi:

Google Project Zero ha definito il 2021 un “anno record per le vulnerabilità 0-day”, poiché nel corso dell’anno sono state rilevate e divulgate 58 vulnerabilità di sicurezza.

Per chi non lo sapesse, Google Project Zero è un team di Google formato da analisti di sicurezza informatica che si occupa dell’individuazione di vulnerabilità zero-day (cioè di vulnerabilità scoperte per la prima volta, senza che siano quindi siano state studiate contromisure per queste falle di sicurezza).

Record di vulnerabilità zero-day registrate: perché?

Lo sviluppo segna un salto di oltre due volte dal massimo precedente quando sono stati monitorati 28 exploit di 0 giorni nel 2015. Al contrario, nel 2020 sono stati rilevati solo 25 exploit di 0 giorni.

Il grande aumento degli 0-day nel 2021 è dovuto a un maggiore capacità di rilevazione di queste particolari vulnerabilità, piuttosto che semplicemente a un maggiore utilizzo degli exploit 0-day“, ha affermato Maddie Stone, ricercatrice sulla sicurezza di Google Project Zero.

Gli attaccanti stanno avendo successo utilizzando gli stessi bug e tecniche di sfruttamento, perseguendo le stesse superfici di attacco“, ha aggiunto Stone.

Analisi degli 0-day rilevati nel 2021

Il team di sicurezza interno del gigante della tecnologia ha caratterizzato gli exploit come simili a vulnerabilità precedenti e pubblicamente note, con solo due di esse notevolmente diverse per la sofisticatezza tecnica e l’uso di bug logici per sfuggire alla sandbox.

Entrambi si riferiscono a Forcedentry, un exploit iMessage attribuito alla società israeliana di software di sorveglianza NSO Group. “L’exploit è stato un’opera d’arte impressionante“, ha detto Stone.

L’escape sandbox è “notevole per l’utilizzo solo di bug logici“, hanno spiegato il mese scorso i ricercatori di Google Project Zero Ian Beer e Samuel Gross. “L’aspetto più sorprendente è la profondità della superficie di attacco“.

Un’analisi della piattaforma di questi exploit mostra che la maggior parte degli 0-day proveniva da Chromium (14), seguito da Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS/macOS (5) e Internet Explorer (4).

Dei 58 giorni 0-in-the-wild osservati nel 2021, 39 erano vulnerabilità di danneggiamento della memoria, con bug use-after-free (17), lettura e scrittura fuori limite (6), Errori di overflow del buffer (4) e di integer overflow (4).

Vale anche la pena notare che 13 dei 14 giorni di Chromium 0 erano vulnerabilità di danneggiamento della memoria, la maggior parte delle quali, a sua volta, erano vulnerabilità use-after-free.

App di messaggistica & C. (apparentemente) senza 0-day

Google Project Zero ha evidenziato la mancanza di esempi pubblici che evidenzino lo sfruttamento in natura di vulnerabilità 0-day in app di messaggistica come WhatsApp, Signal e Telegram, nonché altri componenti, inclusi i core della CPU, i chip Wi-Fi, e il cloud.

Questo porta alla domanda se questi 0 giorni siano assenti a causa della mancanza capacità di rilevazione, mancanza di pubblicizzazione di queste vulnerabilità o entrambi?“, ha detto Stone, aggiungendo: “Come settore non stiamo rendendo difficile lo 0-day“.

Creare un 0-day sarà più difficile quando, nel complesso, gli aggressori non saranno in grado di utilizzare metodi e tecniche pubbliche per sviluppare i loro exploit“, costringendoli “a ricominciare da zero ogni volta che rileveremo uno dei loro exploit“.

Ti è piaciuto questo articolo? Contatta Noi Sicurezza se sei interessato a una consulenza in materia di sicurezza informatica:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.