1 ago 2023

"Las brechas de parches de Android hace que los N-Days sean tan peligrosos como los 0-Days" [Google]

Google ha publicado su informe anual de vulnerabilidades Zero-Day, que presenta estadísticas de explotación in-the-wild desde 2022 y destaca un problema de larga data en la plataforma Android que eleva el valor y el uso de las fallas reveladas durante períodos prolongados.

Más específicamente, el informe de Google destaca el problema de los N-Days en Android que funcionan como Zero-Day para los actores de amenazas.

El problema surge de la complejidad del ecosistema de Android, que involucra varios pasos entre el proveedor ascendente (Google) y el fabricante descendente (fabricantes de teléfonos), discrepancias significativas en los intervalos de actualización de seguridad entre diferentes modelos de dispositivos, períodos cortos de soporte, confusión de responsabilidades y otros asuntos.

Una vulnerabilidad Zero-Days es una falla de software conocida antes de que un proveedor se dé cuenta o la corrija, lo que permite explotarla en ataques antes de que haya un parche disponible. Sin embargo, una vulnerabilidad de N-Days es aquella que se conoce públicamente con o sin un parche.

Por ejemplo, si se conoce un error en Android antes que en Google, se le llama 0-Days. Sin embargo, una vez que Google se entera, se convierte en un N-Days, y la N refleja la cantidad de días desde que se hizo público.

Google advierte que los atacantes pueden usar N-Days para atacar dispositivos sin parches durante meses, utilizando métodos de explotación conocidos o diseñando los suyos propios, a pesar de que Google u otro proveedor ya ha puesto a disposición un parche.

Esto es causado por brechas de parches, donde Google u otro proveedor corrige un error, pero un fabricante de dispositivos tarda meses en implementarlo en sus propias versiones de Android.

"Estas brechas entre los proveedores ascendentes y descendentes permiten que los N-Days (que se conocen públicamente) funcionen como 0-Days porque el usuario no tiene ningún parche disponible y su única defensa es dejar de usar el dispositivo", explica el informe de Google.

"Si bien estas brechas existen en la mayoría de las relaciones ascendentes y descendentes, son más frecuentes y más prolongadas en Android".

N-Days tan efectivos como 0-Days

En 2022, muchos problemas de este tipo afectaron a Android, sobre todo CVE-2022-38181, una vulnerabilidad en la GPU ARM Mali. Esta falla se informó al equipo de seguridad de Android en julio de 2022, se consideró que "no se solucionará", ARM la corrigió en octubre de 2022 y finalmente se incorporó en la actualización de seguridad de Android de abril de 2023.

Se descubrió que esta falla se explotaba de forma pública en noviembre de 2022, un mes después de que ARM publicara una solución.

La explotación continuó sin cesar hasta abril de 2023, cuando la actualización de seguridad de Android impulsó la solución, seis meses después de que ARM abordara el problema de seguridad.

  • CVE-2022-3038: falla de escape de Sandbox en Chrome 105, que se parchó en junio de 2022, pero permaneció sin resolver en los navegadores de proveedores basados en versiones anteriores de Chrome, como el "navegador de Internet" de Samsung.
  • CVE-2022-22706: falla en el controlador del kernel de GPU ARM Mali parcheado por el proveedor en enero de 2022.

Se descubrió que las dos fallas se explotaron en diciembre de 2022 como parte de una cadena de ataque que infectó los dispositivos Android de Samsung con spyware.

Samsung lanzó una actualización de seguridad para CVE-2022-22706 en mayo de 2023, mientras que la actualización de seguridad de Android adoptó la corrección de ARM en la actualización de seguridad de junio de 2023, registrando un asombroso retraso de 17 meses.

Incluso después de que Google lanza la actualización de seguridad de Android, los proveedores de dispositivos tardan hasta tres meses en hacer que las correcciones estén disponibles para los modelos compatibles, lo que brinda a los atacantes otra ventana de oportunidad de explotación para dispositivos específicos.

Esta brecha de parches hace que un N-Days sea tan valioso como un 0-Day para los actores de amenazas que pueden explotarlo en dispositivos sin parches. Algunos pueden considerar que estos N-Dayss son más útiles que los 0-Days, ya que los detalles técnicos ya se han publicado, potencialmente con exploits de prueba de concepto (PoC), lo que facilita que los actores de amenazas abusen de ellos.

La buena noticia es que el resumen de actividad de Google de 2022 muestra que las fallas de Zero-Day se han reducido en comparación con 2021, con 41 hallazgos, mientras que la caída más significativa se registró en la categoría de navegadores, que contó con 15 fallas el año pasado (fue 26 en 2021).

Otro hallazgo notable es que más del 40% de las vulnerabilidades de día cero descubiertas en 2022 eran variantes de fallas informadas anteriormente, ya que eludir las soluciones para fallas conocidas suele ser más fácil que encontrar una vulnerabilidad de día cero que pueda servir en cadenas de ataque similares.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!