Google Project Zero descubre un número récord de exploits de día cero en 2021

Google Project Zero calificó a 2021 como un «año récord para los días cero». 58 vulnerabilidades fueron descubiertas y divulgadas durante el año.

El desarrollo marca un salto de más del doble desde el máximo anterior cuando 2015 rastreó 28 hazañas de 0 días. Por el contrario, solo se descubrieron 25 exploits de día cero en 2020.

“El gran aumento en los días 0 en la naturaleza en 2021 se debe a una mayor detección y divulgación de estos días 0 y no simplemente a un mayor uso de exploits de día 0”, según Google Project Zero.

«Los atacantes prosperan utilizando los mismos patrones de fallas, técnicas de explotación y siguiendo las mismas superficies de ataque».

El equipo de seguridad interna del gigante tecnológico caracterizó las vulnerabilidades como similares a las vulnerabilidades anteriores y conocidas públicamente, con solo dos de ellas que difieren significativamente en términos de sofisticación técnica y el uso de fallas lógicas para escapar de la caja de arena.

Ambas se refieren a robos mediante una vulnerabilidad de iMessage con un clic cero. Atribuido a la empresa de software de vigilancia israelí NSO Group. «La hazaña fue una obra de arte increíble», dijo Stone.

El escape de la caja de arena es «notable por usar solo errores lógicos», según los investigadores de Google Project Zero Ian Beer y Samuel Groß. explicado El mes pasado. «El resultado más sorprendente es la profundidad de la superficie de ataque que se puede lograr desde lo que, con suerte, será una caja de arena bastante limitada».

Un desglose plataforma por plataforma de estos exploits muestra que la mayoría de los días cero «in-the-wild» provienen de Chromium (14), seguidos de Windows (10), Android (7), WebKit/Safari (7) y Microsoft Exchange Server (5), iOS/macOS (5) e Internet Explorer (4).

De los 58 0 días en estado salvaje observados en 2021, 39 fueron vulnerabilidades de corrupción de memoria, y los errores se atribuyeron al uso después del desbloqueo (17), acceso de lectura y escritura fuera de los límites (6), desbordamiento de búfer (4) y Errores de desbordamiento (4) de enteros.

También vale la pena señalar que 13 de los 14 Chromium 0-Days eran vulnerabilidades de corrupción de memoria, la mayoría de las cuales eran vulnerabilidades de uso después de liberarse.

Y lo que es más, Proyecto cero de Google señaló la falta de ejemplos públicos que destaquen la explotación salvaje de errores de día cero en servicios de mensajería como WhatsApp, Signal y Telegram, así como otros componentes, incluidos núcleos de CPU, chips Wi-Fi y la nube.

«Eso lleva a la pregunta, ¿faltan esos días 0 debido a la falta de detección, falta de divulgación o ambos?», dijo Stone, y agregó: «Como industria, no hacemos que los días 0 sean difíciles».

«0-Day se vuelve más difícil cuando los atacantes son totalmente incapaces de utilizar métodos y técnicas públicos para desarrollar sus exploits de 0-Day», obligándolos a «comenzar de nuevo cada vez que descubrimos uno de sus exploits».

Compártelo
Compártelo
Compártelo
Compártelo
Compártelo

Para estar siempre conectados

Suscríbete a nuestro boletín y recibe periódicamente nuestras actualizaciones de información, informes de seguridad digital, consejos, nuestras promociones y ofertas y mucho más…