211service.com
Google dit qu'il est trop facile pour les pirates de trouver de nouvelles failles de sécurité
Lewis Ngugi sur Unsplash
En décembre 2018, des chercheurs de Google ont détecté un groupe de pirates qui visaient Internet Explorer de Microsoft. Même si le nouveau développement a été arrêté deux ans plus tôt, c'est un navigateur tellement courant que si vous pouvez trouver un moyen de le pirater, vous avez une porte potentiellement ouverte à des milliards d'ordinateurs.
Les pirates recherchaient et trouvaient des failles auparavant inconnues, connues sous le nom de vulnérabilités zero-day.
Peu de temps après avoir été repérés, les chercheurs ont vu un exploit utilisé dans la nature. Microsoft a publié un correctif et corrigé la faille, en quelque sorte. En septembre 2019, une autre vulnérabilité similaire a été découverte et exploitée par le même groupe de piratage.
D'autres découvertes en novembre 2019, janvier 2020 et avril 2020 ont ajouté au moins cinq vulnérabilités zero-day exploitées à partir de la même classe de bogues en peu de temps. Microsoft a publié plusieurs mises à jour de sécurité : certaines n'ont pas réussi à corriger la vulnérabilité ciblée, tandis que d'autres n'ont nécessité que de légères modifications qui ne nécessitaient qu'une ligne ou deux pour modifier le code du pirate afin que l'exploit fonctionne à nouveau.
'Une fois que vous avez compris un seul de ces bogues, vous pouvez alors simplement modifier quelques lignes et continuer à travailler sans jour.'
Cette saga est emblématique d'un problème beaucoup plus important en matière de cybersécurité, selon une nouvelle étude de Maddie Stone, chercheuse en sécurité chez Google : il est beaucoup trop facile pour les pirates de continuer à exploiter des zero-days insidieux parce que les entreprises ne font pas du bon travail en permanence combler les failles et les lacunes.
La recherche de Stone, qui fait partie d'une équipe de sécurité de Google connue sous le nom de Project Zero, met en lumière plusieurs exemples de cela en action, y compris problèmes que Google lui-même a eu avec son navigateur Chrome populaire.
Ce que nous avons vu coupe dans l'industrie : des correctifs incomplets permettent aux attaquants d'exploiter plus facilement les utilisateurs avec des jours zéro, a déclaré Stone mardi lors de la conférence sur la sécurité Enigma. Nous n'exigeons pas des attaquants qu'ils proposent toutes les nouvelles classes de bogues, développent une toute nouvelle exploitation, examinent du code qui n'a jamais été étudié auparavant. Nous autorisons la réutilisation de nombreuses vulnérabilités différentes que nous connaissions auparavant.
Fruits mûrs
Project Zero opère au sein de Google en tant qu'équipe unique et parfois controversée qui se consacre entièrement à la chasse aux failles énigmatiques du jour zéro. Ces bogues sont convoités par les pirates de tous bords et plus prisés que jamais, pas nécessairement parce qu'ils sont de plus en plus difficiles à développer, mais parce que, dans notre monde hyperconnecté, ils sont plus puissants.
Au cours de sa durée de vie de six ans, l'équipe de Google a suivi publiquement plus de 150 bogues zero-day majeurs, et en 2020, l'équipe de Stone a documenté 24 bugs zero-day qui étaient exploités, dont un quart étaient extrêmement similaires aux vulnérabilités précédemment divulguées. Trois n'ont pas été complètement corrigés, ce qui signifie qu'il n'a fallu que quelques modifications au code du pirate pour que l'attaque continue de fonctionner. Beaucoup de ces attaques, dit-elle, impliquent des erreurs de base et des fruits à portée de main.
Pour les pirates, ce n'est pas difficile, a déclaré Stone. Une fois que vous avez compris un seul de ces bogues, vous pouvez alors simplement modifier quelques lignes et continuer à travailler sans jour.
Pourquoi ne sont-ils pas corrigés ? La plupart des équipes de sécurité travaillant dans les éditeurs de logiciels ont un temps et des ressources limités, suggère-t-elle - et si leurs priorités et leurs incitations sont erronées, elles vérifient seulement qu'elles ont corrigé la vulnérabilité très spécifique devant elles au lieu de s'attaquer aux problèmes les plus importants. la racine de nombreuses vulnérabilités.
D'autres chercheurs confirment qu'il s'agit d'un problème courant.
Dans le pire des cas, quelques jours zéro que j'ai découverts étaient un problème du fournisseur fixant quelque chose sur une ligne de code et, littéralement sur la ligne de code suivante, exactement le même type de vulnérabilité était toujours présent et ils ne l'ont pas fait. pas la peine de le réparer, déclare John Simpson, chercheur en vulnérabilités au sein de la société de cybersécurité Trend Micro. Nous pouvons tous parler jusqu'à ce que nous soyons bleus au visage, mais si les organisations n'ont pas la bonne structure pour faire plus que corriger le bogue précis qui leur est signalé, vous obtenez une telle gamme de qualité de correctif.
Une grande partie du changement est une question de temps et d'argent : donner aux ingénieurs plus d'espace pour enquêter sur les nouvelles vulnérabilités de sécurité, trouver la cause première et résoudre les problèmes plus profonds qui apparaissent souvent dans les vulnérabilités individuelles. Ils peuvent également effectuer une analyse de variantes, a déclaré Stone : rechercher la même vulnérabilité à différents endroits, ou d'autres vulnérabilités dans les mêmes blocs de code.
ré différents fruits tout à fait
Certains essaient déjà différentes approches. Apple, par exemple, a réussi à corriger certains des risques de sécurité les plus graves de l'iPhone en éliminant les vulnérabilités à un niveau plus profond.
En 2019, une autre chercheuse de Google Project Zero, Natalie Silvanovich, a fait la une des journaux lorsqu'elle présenté bogues critiques zéro clic et zéro jour dans iMessage d'Apple. Ces failles permettaient à un attaquant de prendre le contrôle de l'intégralité du téléphone d'une personne sans jamais obliger la victime à faire quoi que ce soit. Même si vous ne cliquiez pas sur un lien, votre téléphone pouvait toujours être contrôlé par des pirates. (En décembre 2020, de nouvelles recherches ont trouvé un campagne de piratage contre les journalistes exploitant une autre attaque zero-day zéro-clic contre iMessage.)
Histoire connexe
À l'intérieur de NSO, le géant israélien des logiciels espions d'un milliard de dollars La société de surveillance la plus notoire au monde dit qu'elle veut nettoyer son acte. Allez, on vous écoute.Au lieu d'aborder de près les vulnérabilités spécifiques, l'entreprise est entrée dans les entrailles d'iMessage pour résoudre les problèmes structurels fondamentaux que les pirates exploitaient. Bien qu'Apple n'ait jamais rien dit sur la nature spécifique de ces changements - il vient d'annoncer une série d'améliorations avec sa mise à jour logicielle iOS 14 - Samuel Groß de Project Zero a récemment étroitement disséqué iOS et iMessage et déduit ce qui s'était passé.
L'application est maintenant isolée du reste du téléphone avec une fonctionnalité appelée BlastDoor, écrite dans un langage appelé Swift, ce qui rend plus difficile pour les pirates d'accéder à la mémoire d'iMessage.
Apple a également modifié l'architecture d'iOS afin qu'il soit plus difficile d'accéder au cache partagé du téléphone, une signature de certains des piratages d'iPhone les plus en vue de ces dernières années.
Enfin, Apple a empêché les pirates de tenter des attaques par force brute encore et encore en succession rapide. De nouvelles fonctionnalités de limitation signifient que les exploits qui auraient pu prendre quelques minutes peuvent désormais prendre des heures ou des jours, ce qui les rend beaucoup moins attrayants pour les pirates.
C'est formidable de voir Apple mettre de côté les ressources pour ce type de refactorisations importantes afin d'améliorer la sécurité des utilisateurs finaux, a écrit Groß. Ces changements mettent également en évidence la valeur du travail de sécurité offensif : non seulement des bogues isolés ont été corrigés, mais des améliorations structurelles ont été apportées à la place sur la base des connaissances acquises lors du travail de développement d'exploits.
Les conséquences des piratages s'aggravent à mesure que nous devenons de plus en plus connectés, ce qui signifie qu'il est plus important que jamais pour les entreprises technologiques d'investir et de prioriser les problèmes majeurs de cybersécurité qui donnent naissance à des familles entières de vulnérabilités et d'exploits.
Un conseil à leurs supérieurs est d'investir, d'investir, d'investir, a expliqué Stone. Donnez à vos ingénieurs le temps d'enquêter pleinement sur la cause première des vulnérabilités et de les corriger, donnez-leur la latitude nécessaire pour effectuer une analyse des variantes, récompensez le travail de réduction de la dette technique, concentrez-vous sur les correctifs systémiques.