Posté le février 4, 2021 à 12:08
LES ACTEURS MALVEILLANTS TROUVENT QU’IL EST TRÈS FACILE D’EXPLOITER LES ZERO DAYS, SELON GOOGLE
Le géant de la technologie Google a laissé entendre que les entreprises laissent les acteurs malveillants les attaquer encore et encore parce qu’elles ne font pas le nécessaire en matière de sécurité. Les chercheurs ont mis en évidence plusieurs cas où l’on n’a pas fait assez pour protéger les serveurs, même après avoir obtenu des informations sur un exploit.
En décembre 2018, l’équipe de recherche de Google a découvert un groupe d’acteurs malveillants qui s’en prenaient à Internet Explorer de Microsoft. Mais ils n’ont pas réussi car le développement de nouvelles fonctionnalités a été interrompu depuis 2016 pour Explorer. Cependant, les activités des hackers montrent qu’ils ne reculent devant rien pour compromettre un système ou un logiciel qu’ils considèrent être vulnérable.
Les hackers qui recherchaient des vulnérabilités zero day disent qu’un exploit a été utilisé dans la nature. Peu après, une autre vulnérabilité a été signalée et exploitée par le même groupe de hackers.
L’un des membres de l’équipe de sécurité Project Zero de Google, M. Stone, a présenté plusieurs cas où les vulnérabilités peuvent être facilement exploitées et les défis auxquels Google est confronté avec son populaire navigateur Chrome.
« Les patchs incomplets permettent aux attaquants d’exploiter plus facilement les utilisateurs avec des zero days », a souligné M. Stone.
De nombreuses expositions ont eu lieu dans le passé
Il y a eu des vulnérabilités similaires en 2019 et 2020 qui ont montré qu’au moins 5 vulnérabilités zero day ont été exploitées à partir de la même classe de vulnérabilité.
À plusieurs reprises, Microsoft a émis de multiples alertes de sécurité pour avertir les entreprises des plans cachés des acteurs malveillants. Si certaines entreprises n’ont pas corrigé les vulnérabilités, d’autres n’ont apporté que des modifications mineures qui laissaient encore des failles et des possibilités d’exploitation.
« Une fois que vous avez compris un seul de ces bugs, vous pouvez alors simplement changer quelques lignes et continuer à avoir des zero days qui fonctionnent », ont déclaré les chercheurs.
Les chercheurs de Google ont souligné que les entreprises facilitent la tâche des attaquants car ils n’ont plus besoin de creuser trop profondément pour découvrir une nouvelle vulnérabilité. Ils s’appuient plutôt sur celles qui étaient visibles auparavant et qui ont été légèrement mises à jour. Google a déclaré que les hackers réutilisent désormais de nombreuses vulnérabilités différentes pour leurs exploits.
Project Zero est la branche cybersécurité de Google, dont la responsabilité est de localiser et de corriger les vulnérabilités zero day. Les vulnérabilités sont aussi sérieusement traquées par des hackers et des acteurs malveillants de différents niveaux.
L’équipe de sécurité a été fondée il y a six ans, mais elle a réussi à repérer plus de 150 vulnérabilités zero day importantes.
Rien que l’année dernière, l’équipe a révélé environ 24 vulnérabilités qui ont été exploitées, un quart d’entre elles ayant des caractéristiques similaires à des vulnérabilités déjà découvertes.
Trois de ces vulnérabilités n’ont pas été corrigées correctement, ce qui a permis aux acteurs malveillants de les modifier facilement et d’attaquer les systèmes. L’équipe de Google affirme que plusieurs de ces attaques sont causées par des erreurs élémentaires.
Le temps et les ressources sont limités pour les équipes de sécurité
M. Stone a donné les raisons probables pour lesquelles les entreprises ne sont pas en mesure de corriger correctement leurs failles de sécurité. Selon elle, de nombreuses équipes de sécurité des sociétés de logiciels n’ont pas assez de temps et de ressources pour fournir des correctifs de vulnérabilité adéquats.
Comme leurs incitations et leurs priorités sont imparfaites, elles essaient seulement de corriger la vulnérabilité dont elles sont alertées, laissant le tableau d’ensemble encore ouvert à une plus grande exploitation.
La plupart du temps, une vulnérabilité unique peut être reliée à d’autres vulnérabilités zero day. Même lorsque la vulnérabilité exposée est corrigée, cela ne la rend pas inaccessible aux acteurs malveillants. En réalité, de nombreux attaquants ne se contentent pas d’abandonner après qu’une entreprise a corrigé une vulnérabilité. Ils recherchent généralement davantage de failles, pensant que la découverte d’une seule vulnérabilité signifie que d’autres vulnérabilités existent probablement au sein d’un tel système.
L’évolution du paysage de sécurité est de mise
D’autres chercheurs ont également collaboré aux déclarations de Stone. Selon John Simpson de la société de sécurité Trend Micro, plusieurs zero days qu’il a découverts sont essentiellement dus à des patchs de vulnérabilité insuffisamment élaborés. Le fournisseur a corrigé la vulnérabilité de manière unilatérale, permettant aux acteurs malveillants d’examiner d’autres possibilités de vulnérabilité.
Il a ajouté que les organisations continueront à avoir de sérieux problèmes de cybersécurité si elles ne font pas plus que corriger la vulnérabilité qui leur est présentée. Elles devraient faire des efforts supplémentaires pour s’assurer que toute la ligne de sécurité est intacte. Il a ajouté que de l’argent et du temps sont nécessaires pour suivre les bons protocoles de sécurité des logiciels.