Google: estamos descubriendo más errores de día cero que nunca. Pero los piratas siguen siendo muy fáciles.

De los 58 exploits de día cero en software popular que el proyecto Zero de Google rastreó en 2021, solo dos fueron particularmente nuevos, mientras que el resto se basó en las mismas tecnologías una y otra vez.

Estas son buenas y malas noticias para la industria del software.

2021 fue un año récord para la cantidad de fallas de día cero en software como Chrome, Windows, Safari, Android, iOS, Firefox, Office y Exchange que Google Project Zero (GPZ) rastreó como explotadas antes de que se lanzara un parche del proveedor. disponible.

A los 58, esto fue más del doble de la tasa anual de detección y descubrimiento de vulnerabilidades de día cero en la naturaleza desde que GPZ comenzó el seguimiento de día cero a mediados de 2014.

ser visto: Estos son los quebraderos de cabeza de los cazarrecompensas

Los investigadores de seguridad de Google han Ya señale los problemas Con tendencias derivadas de datos sobre días cero en la naturaleza. Por ejemplo, que no se haya detectado un error no significa que no se haya utilizado. Google ha argumentado que el descubrimiento está mejorando. Pero también hubo una importante brecha de información: solo hubo cinco muestras de exploits utilizados contra cada una de las 58 vulnerabilidades.

Mientras que el día cero atrapado en la naturaleza se considera un «fracaso» para los atacantes, Maddie Stone, investigadora de GPZ, señala en un blog Que «sin un modelo de explotación o una redacción técnica detallada basada en la muestra, solo podemos centrarnos en reparar la vulnerabilidad en lugar de mitigar el método de explotación».

Este enfoque significa que los atacantes pueden continuar usando sus métodos de explotación existentes en lugar de tener que volver a la fase de diseño y desarrollo para construir una nueva explotación, dice.

Señaló que los atacantes utilizan con éxito los mismos patrones de error y técnicas de explotación y persiguen las mismas superficies de ataque. Esta redundancia significa que los atacantes aún no están obligados a invertir en nuevos métodos y plantea dudas sobre cuánto está aumentando la industria el costo para los atacantes.

«Solo dos días se destacaron como novela: uno por el desarrollo técnico de sus hazañas y el otro por su uso de errores lógicos para escapar de la caja de arena», señala.

Para avanzar en 2022, GPZ espera que todos los proveedores acepten divulgar un exploit de error salvaje en sus boletines de errores. Como hace habitualmente el equipo de seguridad de Chrome de Google. Apple reveló por primera vez este estado a iOS en 2021.

También desea compartir muestras de exploits o descripciones técnicas detalladas de los exploits de manera más amplia.

Y a GPZ le gustaría ver más trabajo para reducir las vulnerabilidades de corrupción de la memoria, que son, con mucho, el tipo de defecto más común, según ambos. microsoft Y El Google.

ser visto: Los piratas informáticos ignorantes pasaron meses dentro de una red y nadie se dio cuenta. Pero luego apareció una banda de ransomware

Stone señala que el 67 %, o 39, de los 58 días de este año en estado salvaje fueron vulnerabilidades de corrupción de memoria.

La conclusión de GPZ es que la industria avanzó un poco en 2021 con una mejor detección y detección, pero Stone agrega que «como industria, no estamos haciendo que el día 0 sea difícil».

También explicó: “El objetivo es obligar a los atacantes a comenzar desde cero cada vez que descubramos uno de sus exploits: se ven obligados a descubrir una vulnerabilidad completamente nueva, tienen que invertir tiempo en aprender y analizar una nueva superficie de ataque, deben desarrollar un método de explotación completamente nuevo”.