Record de 0-Day in-the-wild [Google Project Zero]

Este es tercer año de revisión de Zero-Day de Project Zero de Googlee, en el que analizan las vulnerabilidades explotadas in-the-wild [2020, 2019].

Cada año, analizan Zero-Days detectados y divulgados y en este informe sintetizan lo que creen que son las tendencias y las conclusiones. El objetivo de este informe no es detallar cada exploit individual, sino analizar los del año 2021 como un grupo, buscando tendencias, brechas, lecciones aprendidas, éxitos, etc. Si está interesado en el análisis de exploits individuales, se puede acceder al repositorio de análisis de causa raíz.

El objetivo del proyecto es que sea más costoso, más intensivo en recursos y, en general, más difícil para los atacantes utilizar las capacidades de los 0-Day. El año 2021 se destacó porque los gobiernos estuvieron atacando a periodistas, poblaciones minoritarias, políticos, defensores de los derechos humanos e incluso investigadores de seguridad en todo el mundo. Las decisiones que toman las comunidades de seguridad y tecnología pueden tener un impacto real en la sociedad y en la vida de nuestros congéneres.

El 2021 incluyó la detección y divulgación de 58 Zero-Day siendo explotados en estado salvaje, la mayor cantidad jamás registrada desde que Project Zero comenzó a rastrearlos a mediados de 2014. Eso es más del doble del máximo anterior de 28 detectados en 2015 y especialmente marcado si se considera que solo se detectaron 25 en 2020.

La empresa cree que el gran aumento en los días cero en estado salvaje en 2021 se debe a una mayor detección y divulgación de los mismos, en lugar de simplemente un mayor uso de exploits Zero-Day.

Los atacantes están teniendo éxito utilizando los mismos patrones de errores y técnicas de explotación y persiguiendo las mismas superficies de ataque. La misión de Project Zero es "hacer que el día cero sea más difícil". Los 0-Day serán más difícil cuando, en general, los atacantes no puedan usar métodos y técnicas públicos para desarrollar sus exploits.

Cuando se revisan los 58 Zero-Day utilizados en 2021, se puede ver que son son similares a vulnerabilidades anteriores y conocidas públicamente. Solo dos 0-Day se destacaron como novedosos: uno por la sofisticación técnica de su exploit y el otro por su uso de errores lógicos para escapar de la caja de arena.

Entonces, hay una mejora de la industria en la detección y divulgación de los días 0 en estado salvaje, pero también hay muchas mejoras por hacer. Tener acceso a más "verdades básicas" de cómo los atacantes realmente usan los días cero muestra que pueden tener éxito utilizando técnicas y métodos previamente conocidos en lugar de tener que invertir en el desarrollo de técnicas novedosas. Esta es una clara área de oportunidad para la industria tecnológica.

Obviamente, los atacantes que usan vulnerabilidades de 0-Days de forma activa no los comparten, por lo que nunca sabremos exactamente qué proporción de 0-Days actualmente se encuentran y divulgan públicamente.

Por ahora la industria ha tomado las siguientes mejoras:

• Todos los proveedores aceptan divulgar el estado de explotación en estado salvaje de las vulnerabilidades en sus boletines de seguridad.
• Las muestras de exploits o las descripciones técnicas detalladas de los mismos se comparten más ampliamente.
• Hay esfuerzos concertados continuos para reducir las vulnerabilidades de corrupción de la memoria o hacerlas inexplotables. Están publicando mitigaciones que tendrán un impacto significativo en la capacidad de explotación de las vulnerabilidades de corrupción de la memoria.

El informe completo se puede leer aquí.

Fuente: Maddie Stone de Project Zero de Google

Suscríbete a nuestro Boletín