Dziadowskie poprawki do oprogramowania odpowiadają za jedną czwartą przypadków zero-day’ów.

Google chce zaprzestania ułatwiania ataków

Aby ograniczyć wpływ luk zero-day, ekspert ds. bezpieczeństwa w Google, Maddie Stone, chciałaby, aby osoby opracowujące poprawki oprogramowania zaprzestały dostarczania tandetnych łat. W prezentacji na wirtualnej konferencji USENIX Enigma 2021 Stone przedstawiła przegląd exploitów zero-day wykrytych w 2020 roku. Przypomnijmy, że zero-day exploit to termin odnoszący się do exploita wykorzystującego wcześniej niezidentyfikowaną lukę.

Wady dnia zerowego stanowią problem, ponieważ mogą być wykorzystywane przez długi czas, zanim zostaną wykryte i rozwiązane. Według Stone w 2020 roku było ich 24, o cztery więcej niż w 2019.

Patrząc na nie wszystkie razem jako grupę, liczba, która przykuła moją uwagę najbardziej, to fakt, że 6 z 24 zero-day’ów wykorzystywanych w 2020 roku to warianty wcześniej ujawnionych luk w zabezpieczeniach. Co więcej, 3 z 24 luk w zabezpieczeniach nie zostały w pełni załatane, co oznacza, że wystarczy kilka poprawek, aby mieć exploita, który nadal działa nawet po zastosowaniu łatki.

Częściowe łatanie tylko ułatwia życie hakerom

Stone twierdzi, że patchowanie systemów w części, bez całościowego usunięcia problemu, sprawia, że życie atakujących staje się prostsze.

Nie wymagamy od atakujących, aby wymyślali wszystkie nowe klasy błędów, opracowywali zupełnie nowe sposoby wykorzystywania luk, analizowali kod, który nigdy wcześniej nie był badany. Zezwalamy za to na ponowne wykorzystanie wielu różnych luk w zabezpieczeniach, o których wcześniej wiedzieliśmy.

Aby zilustrować swój punkt widzenia, Stone przeanalizowała kilka exploitów typu „zero-day” z 2020 roku, w tym powtarzające się ataki na silnik JScript firmy Microsoft użytkowany w przeglądarce Internet Explorer. Jak wyjaśniła, w styczniu 2018 roku badacz bezpieczeństwa zgłosił firmie Microsoft wiele luk w zabezpieczeniach tej przeglądarki. Powiedziała, że w grudniu 2018 roku, po wykryciu iż istnieje już zero-day exploit, Microsoft wydał poprawkę dla CVE-2018-8653. We wrześniu 2019 roku pojawił się nowy zero-day exploit i okazało się jasnym, że kolejne są dalsze naprawy w celu rozwiązania problemu CVE-2019-1367. W listopadzie 2019 roku pojawił się jeszcze jeden exploit, problem opisano jako CVE-2019-1429. A potem mieliśmy kolejny w styczniu 2020 roku (CVE-2020-0674) a gdy wreszcie wydawało się, że problem został ostatecznie usunięty, w kwietniu 2020 roku odnotowano CVE-2020-0968.

Nieszczęścia i luki chodzą parami, a czasami czwórkami

Stone zauważyła, że ten sam napastnik, według badań analizy zagrożeń Google, wykorzystał wszystkie cztery z tych luk. Atakujący miał cztery różne szanse wykorzystania tych luk w zabezpieczeniach do wykorzystania użytkowników.

Dokładnie przyglądając się podatnemu kodowi, Stone wykazała jak blisko są ze sobą powiązane luki. Wyjaśniła, że częstym problemem związanym z tymi błędami jest to, że obiekt JScript nie jest śledzony przez moduł odśmiecania pamięci i został niepoprawnie usunięty. Można to wykorzystać za pomocą różnych podobnych fragmentów kodu.

Google nie lepsze

Stone opowiedziała też o innym przpyadku, w którym wykorzystano błąd związany z pomyłką typu w silniku JavaScript V8 firmy Google. Exploit działał ponieważ kod Google nie mógł obsłużyć NaN (not a numer) wynikającego z dodania wartości JavaScript Negative Infinity i Positive Infinity podczas iteracji po liście liczb całkowitych.

Sprawdź oferty pracy na TeamQuest

W tym przypadku raport analityków bezpieczeństwa doprowadził do oznaczenia błędu jako CVE-2019-13764 i wypuszczenia poprawki. W lutym 2020 roku Siergiej Glazunow odkrył, że pomimo poprawki istnieje zero-day wykorzystujący CVE-2019-13764. Więc przeanalizował poprawkę i stwierdził, że jest niekompletna - dotyczyła jednego sposobu wykorzystania błędu, ale nie innego. To doprowadziło do CVE-2020-6883 i kolejnej łatki. Ale ta poprawka spowodowała inne problemy, więc potem wydano jeszcze zaktualizowaną łatkę.

Stone twierdzi, że musimy utrudnić tworzenie zero-day exploitów, nie pozwalając atakującym na wykorzystanie wcześniejszych ujawnień błędów do stworzenia swojego nowego złośliwego oprogramowania.

Potrzebujemy poprawnych i kompleksowych poprawek dla wszystkich luk od naszych dostawców. Nie możemy zostawiać kwestii, o których atakujący się dowiedzieli, otwartymi.

Stone wezwała również zajmujących się cyberbezpieczeństwem aby przyłożyli się do analizy błędów i przeprowadzali analizy wariantowe tak aby luki w zabezpieczeniach mogły być szczegółowo i kompleksowo zgłaszane. Wezwała też użytkowników końcowych, aby żądali lepszych poprawek od dostawców. Utyskiwania na aktualizacje Windows już dla Was opisywaliśmy.