En décembre 2018, des chercheurs de Google ont détecté un groupe de pirates informatiques qui visaient Internet Explorer de Microsoft. Même si le nouveau développement a été arrêté deux ans plus tôt, c’est un navigateur tellement courant que si vous pouvez trouver un moyen de le pirater, vous avez une porte ouverte potentielle à des milliards d’ordinateurs.
Les pirates recherchaient et trouvaient des failles jusque-là inconnues, appelées vulnérabilités zero-day.
Peu de temps après avoir été repérés, les chercheurs ont vu un exploit utilisé dans la nature. Microsoft a publié un correctif et a corrigé la faille, en quelque sorte. En septembre 2019, une autre vulnérabilité similaire a été découverte en cours d’exploitation par le même groupe de piratage.
D’autres découvertes en novembre 2019, janvier 2020 et avril 2020 ont ajouté au moins cinq vulnérabilités zero-day exploitées à partir de la même classe de bogue en peu de temps. Microsoft a publié plusieurs mises à jour de sécurité: certaines n’ont pas réussi à corriger la vulnérabilité ciblée, tandis que d’autres n’ont nécessité que de légères modifications qui ne nécessitaient qu’une ou deux lignes pour modifier le code du pirate pour que l’exploit fonctionne à nouveau.
« Une fois que vous avez compris un seul de ces bogues, vous pouvez alors simplement modifier quelques lignes et continuer à travailler zéro jour. »
Cette saga est emblématique d’un problème bien plus important en matière de cybersécurité, selon une nouvelle étude de Maddie Stone, chercheuse en sécurité chez Google: qu’il est beaucoup trop facile pour les pirates de continuer à exploiter des zero-days insidieux car les entreprises ne font pas du bon travail de façon permanente. éliminer les failles et les failles.
La recherche de Stone, qui fait partie d’une équipe de sécurité de Google connue sous le nom de Project Zero, met en lumière plusieurs exemples de cela en action, notamment problèmes que Google lui-même a eu avec son navigateur Chrome populaire.
« Ce que nous avons vu des coupures dans l’industrie: des correctifs incomplets permettent aux attaquants d’exploiter plus facilement les utilisateurs avec zéro jour », a déclaré Stone mardi lors de la conférence sur la sécurité Enigma. «Nous ne demandons pas aux attaquants de proposer toutes les nouvelles classes de bogues, de développer une toute nouvelle exploitation, de regarder du code qui n’a jamais été étudié auparavant. Nous autorisons la réutilisation de nombreuses vulnérabilités différentes que nous connaissions auparavant. »
Fruits mûrs
Project Zero opère au sein de Google comme une équipe unique et parfois controversée qui se consacre entièrement à la chasse aux énigmatiques failles du jour zéro. Ces bogues sont convoités par les pirates de tous bords et plus prisés que jamais – pas nécessairement parce qu’ils sont de plus en plus difficiles à développer, mais parce que, dans notre monde hyperconnecté, ils sont plus puissants.
Au cours de sa durée de vie de six ans, l’équipe de Google a publiquement retracé plus de 150 bogues majeurs du jour zéro et, en 2020, l’équipe de Stone a documenté 24 jours zéro qui étaient exploités – dont un quart étaient extrêmement similaires aux vulnérabilités précédemment révélées. Trois ont été incomplètement corrigés, ce qui signifie qu’il n’a fallu que quelques ajustements au code du hacker pour que l’attaque continue de fonctionner. Beaucoup de ces attaques, dit-elle, impliquent des erreurs de base et «des fruits à portée de main.
L’article Google dit qu’il est trop facile pour les pirates de trouver de nouvelles failles de sécurité est apparu en premier sur zimo news.
