Google : Nous repérons plus de bugs zero-day que jamais. Mais les pirates ont encore trop facile

Google : Nous repérons plus de bugs zero-day que jamais.  Mais les pirates ont encore trop facile
Written by admin

Sur les 58 exploits zero-day dans les logiciels populaires que Project Zero de Google a suivis en 2021, seuls deux étaient particulièrement nouveaux, tandis que les autres s’appuyaient encore et encore sur les mêmes techniques.

C’est à la fois une bonne et une mauvaise nouvelle pour l’industrie du logiciel.

2021 a été une année record en termes de nombre de failles zero-day dans des logiciels tels que Chrome, Windows, Safari, Android, iOS, Firefox, Office et Exchange que Google Project Zero (GPZ) a suivis comme étant exploités à l’état sauvage avant un fournisseur patch était disponible.

À 58 ans, c’était plus du double du taux annuel de découverte et de détection d’exploits zero-day dans la nature depuis que GPZ a commencé à suivre les zero-days à la mi-2014.

VOIR: Ce sont les problèmes qui causent des maux de tête aux chasseurs de primes de bogues

Les chercheurs en sécurité de Google ont déjà souligné les problèmes liés à la dérivation de tendances à partir de données sur les jours zéro dans la nature. Par exemple, ce n’est pas parce qu’un bogue n’a pas été repéré qu’il n’a pas été utilisé. Google a fait valoir que la détection s’améliore. Mais il y avait aussi une lacune majeure dans les informations : il n’y avait que cinq échantillons d’exploits utilisés contre chacune des 58 vulnérabilités.

Alors que les jours zéro découverts dans la nature sont un “échec” pour les attaquants, Maddie Stone, chercheuse chez GPZ, souligne dans un article de blog que “sans l’échantillon d’exploit ou une description technique détaillée basée sur l’échantillon, nous pouvons concentrez-vous uniquement sur la correction de la vulnérabilité plutôt que sur l’atténuation de la méthode d’exploitation.”

Cette concentration signifie que les attaquants peuvent continuer à utiliser leurs méthodes d’exploitation existantes plutôt que d’avoir à revenir à la phase de conception et de développement pour créer une nouvelle méthode d’exploitation, dit-elle.

Les attaquants, note-t-elle, utilisent avec succès les mêmes schémas de bogues et techniques d’exploitation et s’attaquent aux mêmes surfaces d’attaque. Cette répétition signifie que les attaquants ne sont pas encore obligés d’investir dans de nouvelles méthodes et soulève des questions sur l’augmentation des coûts pour les attaquants.

“Seuls deux 0-days se sont démarqués comme nouveaux : l’un pour la sophistication technique de son exploit et l’autre pour son utilisation de bogues logiques pour échapper au bac à sable”, note-t-elle.

Pour progresser en 2022, GPZ espère voir tous les fournisseurs accepter de divulguer qu’une faille est exploitée à l’état sauvage dans leurs bulletins de bogues, comme le fait régulièrement l’équipe de sécurité Chrome de Google. Apple a révélé ce statut pour iOS pour la première fois en 2021.

Il souhaite également que des échantillons d’exploits ou des descriptions techniques détaillées des exploits soient partagés plus largement.

Et GPZ aimerait voir plus de travail sur la réduction des vulnérabilités de corruption de mémoire, qui sont de loin le type de faille le plus courant, selon Microsoft et Google.

VOIR: Des pirates informatiques ignorants ont passé des mois à l’intérieur d’un réseau et personne ne l’a remarqué. Mais ensuite, un gang de rançongiciels est apparu

Stone note que 67% – ou 39 – des 58 jours 0 dans la nature pour l’année étaient des vulnérabilités de corruption de mémoire.

La conclusion de GPZ est que l’industrie a fait des progrès en 2021 grâce à une meilleure détection et divulgation, mais Stone ajoute que “en tant qu’industrie, nous ne rendons pas difficile le jour zéro”.

Comme elle l’explique : « Le but est de forcer les attaquants à repartir de zéro à chaque fois qu’on détecte un de leurs exploits : ils sont obligés de découvrir une toute nouvelle vulnérabilité, ils doivent investir du temps dans l’apprentissage et l’analyse d’une nouvelle surface d’attaque, ils doivent développer une toute nouvelle méthode d’exploitation.”

Leave a Comment