Per cominciare, Google Project Zero ha trovato 58 exploit zero-day nel 2021, il massimo da quando il team ha iniziato a monitorare il numero nel 2014. È anche importante notare che solo 25 exploit zero-day sono stati scoperti nel 2020, questo non significa necessariamente che gli aggressori sono diventati più attivi e di successo. Google afferma che i modelli di attacco e le superfici sono rimasti in gran parte statici nel 2021, ad eccezione di un paio di nuovi giorni 0, quindi ritiene che il record sia in realtà dovuto all’aumento del rilevamento e della divulgazione.
Google ha elogiato Microsoft , Apple, Apache e i team nativi di Chromium e Android per aver divulgato pubblicamente le vulnerabilità dei bollettini di sicurezza nei propri prodotti per tutto il 2021. Ha anche notato che sono stati rilevati e divulgati exploit anche nei prodotti Qualcomm e ARM, ma, sfortunatamente, sono stati non descritto in dettaglio. nelle raccomandazioni dei fornitori. Google Project Zero ritiene che il numero di exploit zero-day sia probabilmente più alto, ma il numero esatto è sconosciuto perché molti fornitori non divulgano informazioni sulle vulnerabilità scoperte.
Come visto sopra, i fornitori hanno scoperto e divulgato il maggior numero di giorni zero nei loro prodotti. Project Zero sottolinea che i fornitori hanno la maggior parte dei dati di telemetria sui propri prodotti e quindi è probabile che provochino un picco nel grafico se divulgano pubblicamente anche informazioni sugli exploit scoperti.
Tuttavia, Google Project Zero ha notato una strana tendenza. Quasi tutti gli exploit zero-day utilizzavano schemi di bug, superfici di attacco e meccanismi di exploit noti. Ciò significa che il giorno 0 non è ancora abbastanza difficile per gli attaccanti, perché se fosse vero, gli attaccanti graviterebbero maggiormente verso nuove superfici e schemi di attacco.
Gli exploit più zero-day sono stati trovati in Chromium nel 2021, rappresentando 14 di loro. 13 di questi erano errori di danneggiamento della memoria. Sette sono stati scoperti e svelati in Apple WebKit, è interessante sapere che fino al 2021 solo uno zero day è stato rivelato in questo software. Internet Explorer ha avuto quattro giorni zero, in linea con le tendenze storiche. Google Project Zero dice:
Da quando abbiamo iniziato a monitorare zero giorni in natura, Internet Explorer ha avuto un numero abbastanza consistente di zero giorni ogni anno. Il 2021 è effettivamente uguale al 2016 nel numero di zero giorni di Internet Explorer che abbiamo mai monitorato, anche se la quota di mercato degli utenti di browser Web di Internet Explorer continua a diminuire.
Allora perché vediamo un cambiamento così piccolo nel numero di giorni zero reali, nonostante il cambiamento della quota di mercato? Internet Explorer è ancora una superficie di attacco pronta per l’infiltrazione iniziale nei computer Windows, anche se l’utente non utilizza Internet Explorer come browser Internet. Sebbene il numero di 0 giorni sia rimasto più o meno lo stesso degli anni precedenti, i componenti target e i metodi di erogazione degli exploit sono cambiati. 3 giorni zero su 4 visti nel 2021 sono stati indirizzati al motore del browser MSHTML e sono stati forniti con altri mezzi diversi dal Web. Invece, sono stati consegnati ai loro obiettivi tramite documenti di Office o altri formati di file.
Sono stati rivelati 10 giorni 0 per Windows, tuttavia solo il 20% era destinato a Win32k nel 2021 rispetto al 75% nel 2019. Google spiega che il motivo è dovuto al fatto che gli exploit nel 2019 miravano a versioni precedenti di Windows e poiché Microsoft ha patchato quest’area un po ‘in Windows 10, è più difficile da usare come superficie di attacco poiché il supporto per le versioni precedenti di Windows termina e la base di utenti si sta riducendo.
Infine, sette exploit prendono di mira Android e cinque mirano a Microsoft. Exchange Server, quattro per iOS e uno per macOS.
Google ha anche sollevato una serie di domande interessanti sulla base del suo rapporto. Tra questi: l’assenza di exploit 0-day noti per alcuni prodotti a causa di attacchi falliti su di essi o perché i fornitori non li divulgano pubblicamente? Troviamo gli stessi schemi di errore perché ne siamo diventati esperti? Solo cinque dei 58 zero giorni hanno campioni di exploit pubblici, come possiamo accedervi di più?
Tutte queste domande e altre ancora sono discusse in un rapporto dettagliato di Google qui . Andando avanti, il team di Project Zero ha proposto di rendere il rilevamento e la divulgazione degli exploit una politica standard a livello di settore, condividere pubblicamente i campioni di exploit e intensificare gli sforzi per ridurre i bug di danneggiamento della memoria, tra le altre cose.
Lascia un commento