Projeto que combate zero-days do Google descobre que soluções superficiais estão contribuindo para cenário catastrófico de ciberataques
Metade dos 18 bugs zero-day que foram explorados antes de um patch estar disponível publicamente em 2022 poderiam ter sido evitados se os principais fornecedores de software criassem patches mais completos e fizessem mais testes.
Esse é o veredicto de pesquisadores do Google Project Zero (GPZ), que, até agora, contabilizou cerca 20 bugs de afetando sistemas Windows, Apple iOS e WebKit, Chromium e Pixel do Google e o servidor Confluence da Atlassian.
O GPZ apenas coleta dados sobre falhas zero-day – ou bugs explorados por invasores antes que um patch esteja disponível – nos principais produtos de software do mercado, portanto, o número não abrange todas as ameaças do tipo soltas por aí.
Além disso, de acordo com o GPZ, houve apenas quatro zero-day verdadeiramente únicos este ano e isso ocorre porque os invasores podem apenas ajustar suas explorações para contornar patches superficiais.
“Pelo menos metade dos zero-day que vimos nos primeiros seis meses de 2022 poderia ter sido evitada com testes de correção e regressão mais abrangentes. Além disso, quatro dos zero-day de 2022 são variantes de 2021. Apenas 12 meses após a correção do bug original, os invasores voltaram com uma variante do bug”, escreve um membro do GPZ em um blogpost.
A postagem acrescenta que pelo menos metade dos zero-day “estão intimamente relacionados a bugs já vistos antes”.
Essa falta de originalidade respalda uma tendência que outros pesquisadores do Google destacaram recentemente para reformular as discussões sobre zero-days.
Mais zero-days foram encontrados em 2021 do que nos últimos cinco anos, de acordo com contagem do GPZ.
Vários fatores contribuem para isso: primeiro, os pesquisadores simplesmente poderiam detectá-los melhor conforme vão sendo explorados in-the-wild, em comparação com os 5 anos anteriores.
Por outro lado, as bases de código para navegadores tornaram-se tão complexas quanto os sistemas operacionais. Além disso, os navegadores se tornaram um dos principais alvos, graças ao desaparecimento de plugins de navegador, como o Flash Player.
Mas enquanto a detecção, divulgação e correção estão melhorando em todo o setor, o GPZ argumenta que o setor “não está dificultando o zero-day”.
Por exemplo, 67% dos 58 zero-days encontrados in-the-wild em 2021 foram vulnerabilidades de corrupção de memória.
A equipe de segurança do Chrome está trabalhando em soluções para falhas de memória decorrentes da enorme base de código do navegador escrita em C++, mas as atenuações têm um custo de desempenho. O Chrome praticamente não pode ser reescrito em Rust, que oferece melhores garantias de segurança de memória do que C e C++.
O GPZ também aponta que as equipes da Microsoft e do próprio Google Chrome forneceram patches que são meros “tapa-buraco”.
“Muitos dos 0 dias in-the-wild de 2022 são devidos à vulnerabilidade anterior não ter sido totalmente corrigida. No caso dos bugs do Windows win32k e do interceptor de acesso à propriedade Chromium, o fluxo de execução que a prova de conceito explora take foram corrigidos, mas o problema de causa raiz não foi resolvido: os invasores conseguiram voltar e acionar a vulnerabilidade original por um caminho diferente”, diz a pastagem do GPZ.
Estes são os 0 dias que o GPZ rastreou este ano até 15 de junho:
Quer manter sua empresa segura? Conheça as soluções de segurança da Compugraf!