Google : La moitié des failles de type zero-day sont liées à de mauvais correctifs

Google : oui, nous repérons plus de failles zero-day que jamais, mais les pirates ont encore la vie trop facile



La moitié des 18 bugs de type « zero day » qui ont été exploités cette année auraient pu être évités si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.


C’est le verdict des chercheurs de l’équipe Google Project Zero, qui a recensé jusqu’à présent 18 bugs « zero day » en 2022 affectant Microsoft Windows, Apple iOS et WebKit, Chromium et Pixel de Google, et le serveur Confluence d’Atlassian.

C’est dans les vieilles failles qu’on fait les meilleurs exploits


Project Zero ne recueille des données que sur les failles de type « zero day » , des bugs exploités par des attaquants avant qu’un correctif ne soit disponible, dans les principaux logiciels, de sorte que le chiffre n’englobe pas toutes les failles 0-day découvertes dans les logiciels.


En outre, selon Project Zero, il n’y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.


« Au moins la moitié des failles zero day que nous avons observé au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes des failles zero day de 2021. Douze mois à peine après la correction du premier 0-day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre de Project Zero, dans un billet de blog.


Elle ajoute qu’au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».


Ce manque d’originalité va dans le sens d’une tendance que Stone et d’autres personnes chez Google ont récemment mis en évidence.


Plus de 0 days ont été trouvés en 2021 qu’au cours des cinq dernières années où Google Project Zero les a comptabilisés. Plusieurs facteurs sont potentiellement en jeu. Tout d’abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu’auparavant. D’autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d’exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-ins de navigateur comme Flash Player.

Les pratiques de l’industrie à revoir


Toutefois, alors que la détection, la divulgation et l’application de correctifs s’améliorent dans l’ensemble de l’industrie, Maddie Stone a déjà fait valoir que l’industrie « ne rend pas les 0 day plus difficiles ». Elle souhaite que l’industrie élimine des classes entières de failles de sécurité.


Par exemple, 67 % des 58 failles 0day étaient des vulnérabilités de corruption de mémoire.


L’équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l’énorme base de code du navigateur écrit en C++, mais les mesures d’atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.


Maddie Stone souligne également que l’équipe Windows de Microsoft et l’équipe Chrome de Google ont fourni des correctifs partiels.


« Bon nombre des failles zero day de 2022 sont dus au fait que la vulnérabilité précédente n’a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d’exécution que les exploits visaient ont été corrigés, mais la cause première n’a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », dit-elle.


« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »

Voici la liste des zero day exploitées en 2022 que Google Project Zero a suivi jusqu’au 15 juin :

  • Windows win32k : CVE-2022-21882, variante de la faille CVE-2021-1732 (2021) ;
  • iOS IOMobileFrameBuffer : CVE-2022-22587, variante de la faille CVE-2021-30983 (2021) ;
  • Windows : CVE-2022-30190 (« Follina »), variante de la faille CVE-2021-40444 (2021) ;
  • Chromium property access interceptors : CVE-2022-1096, variante des failles CVE-2016-5128, CVE-2021-30551 (2021) et CVE-2022-1232 ;
  • Chromium v8 : CVE-2022-1364, variante de la faille CVE-2021-21195 ;
  • WebKit : CVE-2022-22620 (« Zombie »), corrigée à l’origine en 2013 mais rétablie en 2016 ;
  • Google Pixel : CVE-2021-39793 (la CVE indique 2021, mais la faille a été divulguée et corrigée en 2022), variante d’une faille Linux similaire, dans un sous-système différent ;
  • Atlassian Confluence : CVE-2022-26134, variante de la CVE-2021-26084 ;
  • Windows : CVE-2022-26925 (« PetitPotam »), variante de la CVE-2021-36942 (patch régressé).


Source : « ZDNet.com »





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.