Google: un mejor parche podría haber evitado 1 de cada 4 días cero el año pasado


Los proveedores deberían corregir la causa raíz de una vulnerabilidad, en lugar de bloquear solo una ruta para activarla, dice Google.

El equipo del Proyecto Cero de Google reveló que una cuarta parte de los exploits de día cero detectados en 2020 podrían haberse evitado si los proveedores hubieran emitido los parches adecuados para las fallas de seguridad subyacentes. En su Bloggpost de revisión del año, el equipo dijo que de los 24 días cero que se detectaron en la naturaleza, seis estaban relacionados con vulnerabilidades previamente reveladas.

“Algunos de estos exploits de día solo tenían que cambiar una o dos líneas de código para tener un nuevo exploit de día que funcionara”, dijo Maddie Stone, investigadora de seguridad de Undertaking Zero.

La lista incluye CVE-2020-0674, un día cero que afectó a Online Explorer y es una variante de CVE-2018-8653, CVE-2019-1367y CVE-2019-1429, los tres de los cuales habían sido explotados previamente en la naturaleza.

Entre los otros días cero señalados está CVE-2020-27930 que fue uno de los tres errores de día cero anulados por Apple en noviembre de 2020 y también estuvo relacionado con una laguna de seguridad anterior – CVE-2015-0093. Una vulnerabilidad en la biblioteca FreeType, que está indexada como CVE-2020-15999 y se descubrió que afectaba al navegador world-wide-web Chrome de Google en octubre pasado, también figura en la lista.



Fuente: Google Undertaking Zero

«1 de cada 4 exploits de día cero detectados podría haberse evitado potencialmente si se hubiera explorado una investigación más exhaustiva y un esfuerzo de parcheo», dijo Stone.

Correcto y completo

Los parches a menudo están incompletos en el sentido de que «no solucionan de manera correcta y completa la causa raíz de una vulnerabilidad», dijo el equipo de Job Zero, que mantiene esta hoja de cálculo «In the Wild» que enumera todos los exploits de día cero explotados activamente desde 2014.

Observaron que en lugar de abordar la vulnerabilidad en su conjunto, los proveedores a menudo cierran “solo la ruta que se muestra en la prueba de concepto o la muestra de explotación, en lugar de corregir la vulnerabilidad en su conjunto, lo que bloquearía todas las rutas . » Esto, a su vez, permite a los actores de amenazas apuntar a los usuarios con ataques de día cero con menos esfuerzo.

LECTURA RELACIONADA: Parche en bruto, o cómo cerrar la ventana de oportunidad (sin parche)

“Un parche correcto es aquel que corrige un error con overall precisión, lo que significa que el parche ya no permite la explotación de la vulnerabilidad. Se aplica un parche completo que se corrige en todos los lugares donde debe aplicarse, que cubre todas las variantes. Consideramos que un parche está completo solo cuando es correcto y completo ”, dijo Stone.

Como dice Stone, el objetivo normal debería ser hacer el trabajo de los ciberdelincuentes lo más difícil posible: “El objetivo es obligar a los atacantes a empezar desde cero cada vez que detectamos una de sus hazañas: se ven obligados a descubrir una nueva vulnerabilidad, tienen que invertir tiempo en aprender y analizar una nueva superficie de ataque, deben desarrollar un nuevo método de explotación. Para hacer eso, necesitamos correcciones completas y correctas «.

Si bien lograr ese objetivo puede no ser una tarea fácil, el camino que deben tomar las organizaciones parece estar claro: deben invertir, priorizar y planificar.





Enlace a la noticia original