This post is also available in: Português Español
Google Project Zero observó un total de 18 vulnerabilidades de día cero explotadas en la primera mitad de 2022, de las cuales al menos la mitad existe porque los errores anteriores no se abordaron adecuadamente.
Según Maddie Stone, investigadora de Google Project Zero, 9de los días cero vistos hasta ahora (este año) podrían haberse evitado si las organizaciones hubieran aplicado parches más completos.
El más reciente de estos problemas es la vulnerabilidad de Follina en la plataforma Windows. Rastreada como CVE-2022-30190, es una variante de una vulnerabilidad de día cero de MSHTML, rastreada como CVE-2021-40444.
CVE-2022-21882 es otra vulnerabilidad de Windows, rastreada como CVE-2021-1732, que es una variante de día cero explotada en la naturaleza que se abordó incorrectamente el año pasado.
Un error de iOS IOMobileFrameBuffer, rastreado como CVE-2022-22587, y una falla del motor Chrome v8, rastreada como CVE-2022-1096, son otras variantes de fallas de seguridad sin explotación de dos días que se encontraron en 2021. Respectivamente: CVE-2021-30983 y CVE-2021-30551.
Otros días cero de 2022 que son variantes de defectos de seguridad mal manejados son CVE-2022-1364 CVE-2022-22620 (WebKit), CVE-2021-39793 (Google Pixel), CVE-2022-26134 (Atlassian Confluence) y CVE-2022-26925 (error de Windows llamado PetitPotam).
Según Stone:
“En el caso de los errores de Windows win32 (CVE-2022-21882) y el interceptor de acceso a la propiedad de Chromium (CVE-2022-1096), el flujo de ejecución al que condujo la explotación de la prueba de concepto se ha solucionado, pero la causa raíz del problema no se resolvió: los atacantes pudieron regresar y desencadenar la vulnerabilidad original a través de un camino diferente”.
Los problemas con WebKit y PetitPotam surgieron porque, si bien se corrigieron las vulnerabilidades originales, se revirtieron en algún momento, lo que permitió a los atacantes explotar los mismos errores nuevamente.
Las recomendaciones para garantizar que las vulnerabilidades se parcheen de manera correcta y completa incluyen analizar su causa raíz y cómo se introdujeron, analizar vulnerabilidades similares al problema de seguridad en cuestión y analizar las técnicas de explotación empleadas y el parche.
Compartir estos análisis de forma transparente también ayuda a la industria en su conjunto. Esto permite a los desarrolladores y profesionales de la seguridad comprender mejor lo que los atacantes ya saben sobre estos errores. Lo que se espera es conducir a mejores soluciones y seguridad en general.
This post is also available in: Português Español