Google Project Zero a qualifié 2021 d’«année record pour les 0 jours dans la nature », comme 58 vulnérabilités de sécurité ont été détectés et divulgués au cours de l’année.
Le développement marque plus de deux fois le record par rapport au maximum précédent lorsque 28 exploits de 0 jour ont été suivis en 2015. En revanche, seuls 25 exploits à 0 jour ont été détectés en 2020.
« La forte augmentation des 0 jours dans la nature en 2021 est due à une détection et à une divulgation accrues de ces 0 jours, plutôt qu’à une simple utilisation accrue des exploits 0 jour », a déclaré Google Project Zero, chercheur en sécurité Maddie Stone dit.
« Les attaquants réussissent en utilisant les mêmes modèles de bogues et les mêmes techniques d’exploitation et en s’attaquant aux mêmes surfaces d’attaque », a ajouté Stone.
L’équipe de sécurité interne du géant de la technologie a caractérisé les exploits comme similaires aux vulnérabilités précédentes et connues du public, avec seulement deux d’entre elles nettement différentes pour la sophistication technique et l’utilisation de bogues logiques pour échapper au bac à sable.
Les deux se rapportent à ENTRÉE FORCÉEun Exploit iMessage sans clic attribué à la société israélienne de surveillanceware NSO Group. « L’exploit était une œuvre d’art impressionnante », a déclaré Stone.
L’échappement du bac à sable est « remarquable pour n’utiliser que des bogues logiques », ont déclaré ian Beer et Samuel Groß, chercheurs de Google Project Zero. expliqué passé. « Le plus frappant à retenir est la profondeur de la surface d’attaque accessible à partir de ce qui serait, espérons-le, un bac à sable assez contraint. »
Une ventilation de ces exploits par plate-forme montre que la plupart des 0 jours dans la nature provenaient de Chromium (14), suivi de Windows (10), Android (7), WebKit / Safari (7), Microsoft Exchange Server (5), iOS / macOS (5) et Internet Explorer (4).
Sur les 58 0 jours dans la nature observés en 2021, 39 étaient des vulnérabilités de corruption de mémoire, les bogues résultant de failles d’utilisation après libération (17), de lecture et d’écriture hors limites (6), de débordement de la mémoire tampon (4) et de débordement d’entiers (4).
Il convient également de noter que 13 des 14 jours de Chromium 0 étaient des vulnérabilités de corruption de mémoire, dont la plupart, à leur tour, étaient des vulnérabilités d’utilisation après libération.
De plus, Google Project Zero a souligné le manque d’exemples publics mettant en évidence l’exploitation sauvage des failles 0-day dans les services de messagerie comme WhatsApp, Signal et Telegram, ainsi que d’autres composants, y compris les cœurs de processeur, les puces Wi-Fi et le cloud.
« Cela conduit à la question de savoir si ces 0 jours sont absents en raison d’un manque de détection, d’un manque de divulgation ou des deux? », a déclaré Stone, ajoutant: « En tant qu’industrie, nous ne rendons pas 0 jour difficile. »
« 0 jour sera plus difficile quand, dans l’ensemble, les attaquants ne sont pas en mesure d’utiliser des méthodes et des techniques publiques pour développer leurs exploits 0-day », les obligeant « à repartir de zéro chaque fois que nous détectons l’un de leurs exploits ».