P0 di Google: un 2021 da record, per gli exploit zeroday prodotti.

Questo è un anno record per gli zeroday.

Come abbiamo detto spesso in passato “chi cerca trova” e se tante più persone cercano, tante più persone trovano e questa previsione sembra essere stata accolta a pieno analizzando gli exploit zeroday prodotti nel 2021 (anche se ancora non terminato).

Un 2021 da record

I dati compilati dal laboratorio di ricerca dei bug Project Zero di Google, da quando è stata fondato nel luglio 2014, rivelano che il 2021 è l’anno con il numero più grande mai registrato per gli exploit zero-day “in the wild”.

È importante notare che, sebbene nel 2021 siano state rilevate meno vulnerabilità in generale analizzando il trend, ci sono stati molti più exploit sviluppati rispetto agli anni precedenti.

Tra il 2015 e il 2020, il conteggio è rimasto stabile, con un calo a 12 nel 2018 che funge da valore anomalo. Al 3 maggio, tuttavia, le analisi svolte hanno rilevato più exploit nel 2021 rispetto all’intero anno scorso, con il conteggio totale che è salito di 37 sulla base degli ultimi dati.

Sebbene ci siano sicuramente più vulnerabilità segnalate che mai, secondo il database delle vulnerabilità di crowdsourcing, VulDB, possiamo vedere che non esiste una reale correlazione tra le vulnerabilità totali e gli exploit in the wild.

Cosa c’è di così speciale nel 2021?

Uno dei motivi per cui i ricercatori di Project Zero Maddie Stone e Clement Lecigne sono le migliori politiche di rilevamento e divulgazione. Sia Apple che Google, ad esempio, hanno recentemente iniziato ad annotare i difetti nei bollettini di sicurezza per includere delle note che riportano se ci sono prove che una vulnerabilità possa essere stata sfruttata attivamente.

Quando i fornitori non includono tali note, l’unico modo per conoscere gli exploit di successo è se i ricercatori che li rilevano pubblicano queste informazioni da soli.

La crescita delle piattaforme mobili ha anche portato ad un aumento del numero di prodotti per i quali gli hacker desiderano funzionalità. Ci sono anche più entità nella “zona grigia” che vendono l’accesso agli zero-day come Zerpdium, Crowdfense e ultimamente Candiru, che ha recentemente costruito uno strumento che ha sfruttato due zero-day di Microsoft.

Infine, con la maturazione dei processi di sicurezza, gli aggressori devono fare sempre più affidamento ad exploit zero-day piuttosto che su vulnerabilità pubbliche o documentate, per poter convincere le persone a installare malware, ad esempio da una mail di phishing.

“A causa dei progressi nella sicurezza, i criminali informatici ora devono utilizzare sempre più spesso exploit zero-day, per raggiungere i loro obiettivi”

Hanno aggiunto i ricercatori.

Severity ed impatti

Per quanto riguarda la misurazione dell’impatto di questi attacchi, possiamo osservare un calo della gravità delle conseguenze di sfruttamento.

Indipendentemente dal numero di rilevamenti, la gravità, misurata dal sistema di punteggio di vulnerabilità comune (CVSS), è diminuita, nonostante un’ondata di titoli che evidenziano attacchi devastanti per tutto il 2021.

Questa è anche la derivata del mercato nero (abbiamo poco fa citato alcuni broker zeroday), che acquista exploit e vulnerabilità zeroday, evitando la pubblicazione ed ovviamente l’interesse è per clamorosi exploit RCE da score 9,8/10 piuttosto che semplici XSS da 5,5.

Oltre a questo fatto occorre dire che lo sviluppo del software, nel complesso, si trova in un luogo molto più sano che mai. Come afferma Laurence Orans, vicepresidente della ricerca di Gartner per la sicurezza della rete, la codifica è migliore e il processo di sviluppo del software è stato rafforzato negli ultimi anni.

L’analisi della gravità di tutte le vulnerabilità da parte di VulDB mostra che ciò è vero, ma solo in una certa misura. C’è stato infatti un costante calo della gravità di tutte le vulnerabilità tra il 2016 e il 2021, ma è molto meno pronunciato rispetto al calo della gravità degli exploit sfruttati attivamente.

Microsoft è il fornitore più violato

Gli hacker hanno sfruttato le falle di Microsoft con un 52% del totale (180 difetti sfruttai), mentre il secondo fornitore più preso di mira è Adobe, con 27 difetti.

Un’ulteriore analisi mostra che Windows è il prodotto più mirato, con 43 exploit zero-day, seguito da Internet Explorer (21) e Microsoft Office (13). Ci sono altri otto difetti che rientrano nella categoria del kernel di Windows.

Tutto questo risulta in linea con il report di Recorded Future, pubblicato a febbraio, che ha mostrato che sette dei 10 difetti più comunemente sfruttati durante il 2020 sono stati trovati nei prodotti Microsoft.

Fonte

https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks