Furnizorii de software ar trebui mai degrabă să remedieze cauza esențială din spatele unei vulnerabilități, decât să blocheze doar o posibilă  cale de acces la ea, spune Google

Echipa Google Project Zero a dezvăluit că un sfert dintre exploatările zero-day detectate în 2020 ar fi putut fi prevenite dacă vendorii ar fi emis patch-uri adecvate pentru lacunele de securitate. Într-o postare de blog care face o analiză la anul precedent, echipa a spus că dintre cele 24 amenințări de tip zero-day indentificate ulterior în acțiune, șase au fost derivate din vulnerabilități dezvăluite anterior.

„Unele dintre aceste exploatări zero-day au fost generate doar prin schimbarea unei linii sau două de cod, conducând astfel la un nou exploit zero-day funcțional”, a spus Maddie Stone, cercetător în securitate la Project Zero.

Lista include CVE-2020-0674, o amenințare zero-day care a afectat Internet Explorer și care este o variantă a CVE-2018-8653, CVE-2019-1367 și CVE-2019-1429 , toate trei fiind exploatate anterior în realitate.

Printre celelalte amenințări zero-day analizate se numără CVE-2020-27930, una dintre cele trei erori zero-day eliminate de Apple în noiembrie 2020 și care a avut, de asemenea, legătură cu CVE-2015-0093, o lacună de securitate anterioară. O vulnerabilitate din biblioteca FreeType, care este indexată ca CVE-2020-15999 și care ar fi afectat browserul web Google Chrome în octombrie anul trecut, s-a numărat, de asemenea, pe lista de vulnerabilități găsite.

„1 din 4 exploatări zero-day detectate ar fi putut fi evitate dacă ar fi existat o investigație mai aprofundată și un efort mai analitic de remediere a problemei”, a spus Stone.

Adecvat și cuprinzător

Patch-urile sunt adesea incomplete în sensul că „nu corectează în mod adecvat și cuprinzător cauza principală a unei vulnerabilități”, a spus echipa Project Zero, care a postat public lista amenințărilor „In the Wild”, unde sunt enumerate toate exploatările zero-day exploatate activ încă din 2014 încoace.

Ei au observat că, în loc să abordeze vulnerabilitatea ca ansamblu, producătorii de software remediază „doar calea de acces identificată în probele de validare a conceptului sau de exploatare, în loc să remedieze mai degrabă vulnerabilitatea în ansamblu, metodă prin care s-ar bloca toate căile posibile de acces și exploatare.” Această abordare le permite, însă, actorilor din spatele atacurilor să expună utilizatorii la atacuri zero-day cu și mai puțin efort.

Un articol pe aceeași temă: Rough patch, or how to shut the window of (unpatched) opportunity

„Un patch bun este unul care remediază o eroare cu o acuratețe ridicată, astfel încât patch-ul  odată implementat să nu mai permită în vreo formă derivată exploatarea vulnerabilității. Un patch cuprinzător repară orice cale de infiltrare posibilă, acoperind toate variantele. Considerăm că un patch este complet doar atunci când este adecvat și cuprinzător”, a spus Stone.

După cum spune Stone, obiectivul general ar trebui să fie îngreunarea cât mai mult posibil a intențiilor infracționale: „Scopul este de a forța atacatorii să o ia de la zero de fiecare dată când detectăm una dintre exploit-urile folosite de ei: să fie nevoiți să caute de la zero o nouă vulnerabilitate, să investească timp în identificarea și analiza unei suprafețe noi de atac, să dezvolte o metodă nouă de exploatare. Pentru a face acest lucru, avem nevoie de remedieri (patch-uri) adecvate și complete. ”

Deși realizarea acestui obiectiv poate să fie o sarcină destul de grea, calea pe care trebuie să o parcurgă organizațiile pare să fie clară - trebuie să investească, să acorde prioritate securității și să planifice mai în amânunt.