Google Project Zero ha dichiarato che il 2021 è stato un “anno record per 0-day”, dato che 58 vulnerabilità di sicurezza sono state rilevate e divulgate nel corso dell’anno.
Il risultato è più del doppio rispetto al record precedente, quando 28 exploit 0-day furono individuati nel 2015. Al contrario, solo 25 exploit 0-day sono stati rilevati nel 2020.
“Il grande aumento degli 0-day nel 2021 è dovuto all’aumento del rilevamento e della divulgazione di questi 0-day, piuttosto che semplicemente all’aumento dell’uso degli exploit 0-day”, ha detto Maddie Stone, ricercatrice di sicurezza di Google Project Zero.
“Gli hacker stanno avendo successo utilizzando gli stessi modelli di bug e tecniche di sfruttamento e sfruttando le stesse superfici di attacco”, ha aggiunto Stone.
Il team di sicurezza interno del gigante tecnologico ha classificato gli exploit come simili alle vulnerabilità precedenti e pubblicamente note, con solo due dalla diversa progettazione a causa di sofisticate tecniche e l’uso di bug logici per sfuggire alla sandbox.
Entrambi si riferiscono a FORCEDENTRY, un exploit iMessage zero-click attribuito alla società israeliana di sorveglianza NSO Group. “L’exploit è stato un’opera d’arte impressionante”, ha detto Stone.
La fuoriuscita dalla sandbox è “notevole per l’utilizzo di soli bug logici”, hanno spiegato il mese scorso alcuni ricercatori di Google Project Zero. “La cosa più sorprendente è la profondità della superficie di attacco raggiungibile da quella che si spera sia una sandbox abbastanza limitata”.
Una ripartizione per piattaforma di questi exploit mostra che la maggior parte degli 0-day in-the-wild provengono da:
- Chromium (14)
- Windows (10)
- Android (7)
- WebKit/Safari (7)
- Microsoft Exchange Server (5)
- iOS/macOS (5)
- Internet Explorer (4).
Dei 58 0-day osservati nel 2021, 39 erano vulnerabilità di corruzione della memoria, con i bug che derivavano come conseguenza di difetti use-after-free (17), out-of-bounds read and write (6), buffer overflow (4), e integer overflow (4).
Vale la pena evidenziare che 13 dei 14 Chromium 0-day erano vulnerabilità di corruzione della memoria, la maggior parte dei quali, a loro volta, erano vulnerabilità use-after-free.
Inoltre, Google Project Zero ha sottolineato la mancanza di esempi pubblici che evidenziano lo sfruttamento in-the-wild delle vulnerabilità 0-day. Sia nei servizi di messaggistica come WhatsApp, Signal e Telegram, sia in altri componenti, compresi i core della CPU, chip Wi-Fi e il cloud.
“Questo porta alla domanda se questi 0-days sono assenti a causa della mancanza di rilevamento, mancanza di divulgazione, o entrambi”, ha detto Stone, aggiungendo, “Come industria non stiamo rendendo lo 0-day difficile”.
“Lo 0-day sarà più difficile quando, nel complesso, gli attaccanti non sono in grado di utilizzare metodi e tecniche pubbliche per sviluppare i loro exploit 0-day”, costringendoli “a ricominciare da zero ogni volta che rileviamo uno dei loro exploit”.