Google dijo hoy que una cuarta parte de todas las vulnerabilidades de día cero descubiertas siendo explotadas en la naturaleza en 2020 podrían haberse evitado si los vendedores hubieran corregido sus productos correctamente.
La empresa dijo a través de su equipo de seguridad Project Zero Detección de 24 días cero Los atacantes lo aprovecharon en 2020.
Seis de estos eran variantes de las vulnerabilidades reveladas en años anteriores, ya que los atacantes obtuvieron acceso a informes de errores antiguos para poder estudiar el problema anterior y publicar una nueva versión de exploits.
«Tenía algunas de estas vulnerabilidades que solo me llevó un día cambiar una línea o dos de código para obtener un nuevo exploit por un día», dijo Maddy Stone, miembro del equipo de Project Zero. Entrada en el blog.
Esto incluyó cero días en Chrome, Firefox, Internet Explorer, Safari y Windows.
Imagen: Proyecto Google Zero
Además, otros tres días cero descubiertos y corregidos en 2020 podrían haberse aprovechado de manera similar.
Stone dijo que los parches iniciales de tres días cero, que afectan a Chrome, Internet Explorer y Windows, requieren arreglos adicionales.
Si un representante de amenazas busca parches, puede crear fácilmente nuevas vulnerabilidades, volver a armar la misma vulnerabilidad y continuar con sus ataques.
Imagen: Proyecto Google Zero
Stone, quien también presentó sus resultados. En la conferencia de seguridad virtual USENIX Enigma Esta semana, dijo que esta situación podría haberse evitado si los vendedores hubieran investigado la causa raíz de los errores más profundamente e hubieran invertido más en el proceso de corrección.
El investigador de Project Zero instó a otros expertos en seguridad a aprovechar el descubrimiento y análisis de día cero con mayor profundidad.
Stone argumentó que los días cero brindan una ventana a la mente del atacante que los defensores deben aprovechar e intentar identificar los vectores de entrada que el atacante está tratando de explotar, identificar la categoría de vulnerabilidad y luego publicar medidas de mitigación integrales.
Esta fue la razón principal por la que el equipo de Google Project Zero se fundó hace años, dijo Stone, «aprender de 0 días aprovechados en la naturaleza para hacer 0 días difíciles».