Mar. Set 26th, 2023

    Google Project Zero ha dichiarato che il 2021 è stato un “anno record per 0-day”, dato che 58 vulnerabilità di sicurezza sono state rilevate e divulgate nel corso dell’anno.

    Il risultato è più del doppio rispetto al record precedente, quando 28 exploit 0-day furono individuati nel 2015. Al contrario, solo 25 exploit 0-day sono stati rilevati nel 2020.

    “Il grande aumento degli 0-day nel 2021 è dovuto all’aumento del rilevamento e della divulgazione di questi 0-day, piuttosto che semplicemente all’aumento dell’uso degli exploit 0-day”, ha detto Maddie Stone, ricercatrice di sicurezza di Google Project Zero.

    “Gli hacker stanno avendo successo utilizzando gli stessi modelli di bug e tecniche di sfruttamento e sfruttando le stesse superfici di attacco”, ha aggiunto Stone.

    Il team di sicurezza interno del gigante tecnologico ha classificato gli exploit come simili alle vulnerabilità precedenti e pubblicamente note, con solo due dalla diversa progettazione a causa di sofisticate tecniche e l’uso di bug logici per sfuggire alla sandbox.

    Entrambi si riferiscono a FORCEDENTRY, un exploit iMessage zero-click attribuito alla società israeliana di sorveglianza NSO Group. “L’exploit è stato un’opera d’arte impressionante”, ha detto Stone.

    La fuoriuscita dalla sandbox è “notevole per l’utilizzo di soli bug logici”, hanno spiegato il mese scorso alcuni ricercatori di Google Project Zero. “La cosa più sorprendente è la profondità della superficie di attacco raggiungibile da quella che si spera sia una sandbox abbastanza limitata”.

    Una ripartizione per piattaforma di questi exploit mostra che la maggior parte degli 0-day in-the-wild provengono da:

    • Chromium (14)
    • Windows (10)
    • Android (7)
    • WebKit/Safari (7)
    • Microsoft Exchange Server (5)
    • iOS/macOS (5)
    • Internet Explorer (4).

    Dei 58 0-day osservati nel 2021, 39 erano vulnerabilità di corruzione della memoria, con i bug che derivavano come conseguenza di difetti use-after-free (17), out-of-bounds read and write (6), buffer overflow (4), e integer overflow (4).

    Vale la pena evidenziare che 13 dei 14 Chromium 0-day erano vulnerabilità di corruzione della memoria, la maggior parte dei quali, a loro volta, erano vulnerabilità use-after-free.

    Inoltre, Google Project Zero ha sottolineato la mancanza di esempi pubblici che evidenziano lo sfruttamento in-the-wild delle vulnerabilità 0-day. Sia nei servizi di messaggistica come WhatsApp, Signal e Telegram, sia in altri componenti, compresi i core della CPU, chip Wi-Fi e il cloud.

    “Questo porta alla domanda se questi 0-days sono assenti a causa della mancanza di rilevamento, mancanza di divulgazione, o entrambi”, ha detto Stone, aggiungendo, “Come industria non stiamo rendendo lo 0-day difficile”.

    “Lo 0-day sarà più difficile quando, nel complesso, gli attaccanti non sono in grado di utilizzare metodi e tecniche pubbliche per sviluppare i loro exploit 0-day”, costringendoli “a ricominciare da zero ogni volta che rileviamo uno dei loro exploit”.