Para empezar, Google Project Zero encontró 58 exploits de día cero en 2021, la mayor cantidad desde que el equipo comenzó a rastrear el número en 2014. También es importante tener en cuenta que solo se descubrieron 25 exploits de día cero en 2020, esto no significa necesariamente que los atacantes se han vuelto más activos y exitosos. Google dice que los patrones y superficies de ataque se han mantenido en gran medida estáticos en 2021, con la excepción de un par de nuevos días cero, por lo que cree que el récord se debe en realidad a una mayor detección y divulgación.
Google elogió a Microsoft , Apple, Apache y los equipos nativos de Chromium y Android por divulgar públicamente las vulnerabilidades del boletín de seguridad en sus propios productos a lo largo de 2021. También señaló que también se encontraron y divulgaron exploits en productos Qualcomm y ARM, pero, desafortunadamente, fueron no se describe en detalle. en las propias recomendaciones de los proveedores. Google Project Zero cree que la cantidad de exploits de día cero probablemente sea mayor, pero se desconoce la cantidad exacta porque muchos proveedores no divulgan información sobre las vulnerabilidades descubiertas.
Como se vio anteriormente, los proveedores han descubierto y divulgado la mayor cantidad de días cero en sus productos. Project Zero enfatiza que los proveedores tienen la mayor cantidad de datos de telemetría en sus propios productos y, por lo tanto, es probable que provoquen un aumento en el gráfico si también divulgan públicamente información sobre exploits descubiertos.
Sin embargo, Google Project Zero notó una tendencia extraña. Casi todos los exploits de día cero utilizaron patrones de errores, superficies de ataque y mecanismos de exploit conocidos. Esto significa que el día 0 aún no es lo suficientemente difícil para los atacantes, porque si fuera cierto, los atacantes se inclinarían más hacia nuevas superficies y patrones de ataque.
La mayoría de las vulnerabilidades de día cero se encontraron en Chromium en 2021, lo que representa 14 de ellas. 13 de ellos fueron errores de corrupción de memoria. Se han descubierto y revelado siete en Apple WebKit, es interesante saber que hasta 2021 solo se ha revelado un día cero en este software. Internet Explorer ha tenido cuatro días de cero, lo que está en línea con las tendencias históricas. Proyecto Cero de Google dice:
Desde que comenzamos a rastrear los días cero en la naturaleza, Internet Explorer ha tenido una cantidad bastante constante de días cero cada año. 2021 es efectivamente igual a 2016 en la cantidad de días cero de Internet Explorer que hemos rastreado, incluso cuando la participación de mercado de los usuarios de navegadores web de Internet Explorer continúa disminuyendo.
Entonces, ¿por qué vemos tan pocos cambios en la cantidad de días cero reales, a pesar del cambio en la participación de mercado? Internet Explorer sigue siendo una superficie de ataque lista para la infiltración inicial de computadoras con Windows, incluso si el usuario no está usando Internet Explorer como su navegador de Internet. Si bien la cantidad de días cero se ha mantenido aproximadamente igual que en años anteriores, los componentes de destino y los métodos de entrega de exploits han cambiado. 3 de los 4 días cero vistos en 2021 estaban dirigidos al motor del navegador MSHTML y se entregaron a través de otros medios distintos de la web. En cambio, se entregaron a sus objetivos a través de documentos de Office u otros formatos de archivo.
Se revelaron 10 días 0 para Windows, sin embargo, solo el 20 % estaba dirigido a Win32k en 2021 en comparación con el 75 % en 2019. Google explica que la razón de esto es que los exploits en 2019 estaban dirigidos a versiones anteriores de Windows y que Microsoft parcheó esta área . un poco en Windows 10, es más difícil de usar como superficie de ataque ya que el soporte para versiones anteriores de Windows finaliza y la base de usuarios se está reduciendo.
Finalmente, siete exploits apuntan a Android y cinco a Microsoft. Exchange Server, cuatro para iOS y uno para macOS.
Google también planteó un montón de preguntas interesantes basadas en su informe. Entre ellos: ¿la ausencia de exploits de día cero conocidos para algunos productos debido a ataques fallidos contra ellos o porque los proveedores no los divulgan públicamente? ¿Encontramos los mismos patrones de error porque nos hemos vuelto expertos con ellos? Solo cinco de los 58 días cero tienen muestras públicas de explotación, ¿cómo podemos acceder a más?
Todas estas preguntas y más se analizan en un informe detallado de Google aquí . En el futuro, el equipo de Project Zero ha propuesto convertir la detección y divulgación de vulnerabilidades en una política estándar de toda la industria, compartir muestras de vulnerabilidades públicamente y aumentar los esfuerzos para reducir los errores de corrupción de memoria, entre otras cosas.
Deja una respuesta