L’équipe de sécurité de Google Project Zero a publié son rapport annuel sur les exploits de 0 jour couvrant 2021. Ils ont également comparé ces informations avec leurs données historiques à partir de 2014. Son analyse a conduit à de nombreuses idées et questions intéressantes dans ce domaine.
Pour commencer, Google Project Zero a trouvé 58 exploits zero-day en 2021, le plus depuis que l’équipe a commencé à suivre le nombre en 2014. Il est également important de noter que seuls 25 exploits zero-day ont été découverts en 2020, cela ne signifie pas nécessairement que les attaquants sont devenus plus actifs et réussissent. Google affirme que les modèles et les surfaces d’attaque sont restés largement statiques en 2021, à l’exception de quelques nouveaux 0 jours, il pense donc que le record est en fait dû à une détection et une divulgation accrues.
Google a félicité Microsoft , Apple, Apache et les équipes natives de Chromium et Android pour avoir divulgué publiquement les vulnérabilités des bulletins de sécurité dans leurs propres produits tout au long de 2021. Il a également noté que des exploits ont également été trouvés et divulgués dans les produits Qualcomm et ARM, mais, malheureusement, ils ont été pas décrit en détail. dans les propres recommandations des fournisseurs. Google Project Zero estime que le nombre d’exploits zero-day est probablement plus élevé, mais le nombre exact est inconnu car de nombreux fournisseurs ne divulguent pas d’informations sur les vulnérabilités découvertes.
Comme indiqué ci-dessus, les fournisseurs ont découvert et divulgué le plus grand nombre de jours zéro dans leurs produits. Project Zero souligne que les fournisseurs disposent du plus grand nombre de données de télémétrie sur leurs propres produits et sont donc susceptibles de provoquer un pic dans le graphique s’ils divulguent également publiquement des informations sur les exploits découverts.
Cependant, Google Project Zero a remarqué une tendance étrange. Presque tous les exploits zero-day utilisaient des modèles de bogues, des surfaces d’attaque et des mécanismes d’exploitation bien connus. Cela signifie que 0-day n’est pas encore assez difficile pour les attaquants, car si c’était vrai, les attaquants graviteraient davantage vers de nouvelles surfaces et de nouveaux schémas d’attaque.
Le plus grand nombre d’exploits zero-day ont été trouvés dans Chromium en 2021, soit 14 d’entre eux. 13 d’entre eux étaient des erreurs de corruption de mémoire. Sept ont été découverts et révélés dans Apple WebKit, il est intéressant de savoir que jusqu’en 2021 un seul jour zéro a été révélé dans ce logiciel. Internet Explorer a eu quatre jours de zéro, ce qui est conforme aux tendances historiques. Google Project Zero dit :
Depuis que nous avons commencé à suivre les jours zéro dans la nature, Internet Explorer a eu un nombre assez constant de jours zéro chaque année. 2021 est effectivement égal à 2016 dans le nombre de jours zéro d’Internet Explorer que nous avons jamais suivis, alors même que la part de marché d’Internet Explorer sur les utilisateurs de navigateurs Web continue de baisser.
Alors pourquoi voyons-nous si peu de changement dans le nombre de jours zéro réels, malgré le changement de part de marché ? Internet Explorer est toujours une surface d’attaque prête pour l’infiltration initiale des ordinateurs Windows, même si l’utilisateur n’utilise pas Internet Explorer comme navigateur Internet. Alors que le nombre de jours 0 est resté à peu près le même que les années précédentes, les composants cibles et les méthodes de diffusion des exploits ont changé. 3 jours zéro sur 4 observés en 2021 visaient le moteur de navigateur MSHTML et ont été livrés via d’autres moyens que le Web. Au lieu de cela, ils ont été livrés à leurs cibles via des documents Office ou d’autres formats de fichiers.
10 jours 0 ont été révélés pour Windows, mais seulement 20 % visaient Win32k en 2021 contre 75 % en 2019. Google explique que la raison en est que les exploits en 2019 ciblaient les anciennes versions de Windows et que Microsoft a corrigé ce domaine . un peu plus haut dans Windows 10, il est plus difficile de l’utiliser comme surface d’attaque car la prise en charge des anciennes versions de Windows se termine et la base d’utilisateurs diminue.
Enfin, sept exploits ciblent Android et cinq ciblent Microsoft. Exchange Server, quatre pour iOS et un pour macOS.
Google a également soulevé un tas de questions intéressantes basées sur son rapport. Parmi eux : l’absence d’exploits 0-day connus pour certains produits en raison d’attaques infructueuses sur ceux-ci ou parce que les éditeurs ne les divulguent pas publiquement ? Trouvons-nous les mêmes schémas d’erreur parce que nous sommes devenus compétents avec eux ? Seuls cinq des 58 jours zéro ont des échantillons d’exploit publics, comment pouvons-nous en avoir plus ?
Toutes ces questions et bien d’autres sont abordées dans un rapport détaillé de Google ici . À l’avenir, l’équipe de Project Zero a proposé de faire de la détection et de la divulgation des exploits une politique standard à l’échelle de l’industrie, de partager publiquement des échantillons d’exploits et d’intensifier les efforts pour réduire les bogues de corruption de la mémoire, entre autres.
Laisser un commentaire