As falhas de Dia Zero em 2020 - OSTEC | Segurança digital de resultados

This post is also available in: Português

De acordo com dados coletados pela equipe de segurança do Project Zero do Google, houve 11 vulnerabilidades de dia zero exploradas no primeiro semestre deste ano.

O termo descreve uma falha de segurança desconhecida em um software. Dessa maneira, trata-se de uma ameaça que ainda não foi corrigida ou sequer tornada pública.

Assim, a origem do nome faz referência à publicação de correções de problemas que são denominadas “dia um”, ou seja, a data em que foi levada à público. Entretanto, quando um hacker descobre a falha antes de a correção ser lançada, estará atuando antes do dia um, que seria o dia zero. Isso permite ao criminoso aproveitar o problema antes de ser corrigido, em um momento anterior à sua existência ser divulgada.

De acordo com o relatório, o número atual coloca 2020 com possibilidade de ter tantos dias zero quanto 2019, pois os pesquisadores de segurança do Google disseram que rastrearam 20 dias zero no ano passado.

Detalhes sobre esses dias zero foram obtidos em uma planilha gerenciada por pesquisadores de segurança do Google, que a empresa tornou pública no início deste ano. A planilha contém estatísticas internas do Google sobre o uso do dia zero desde 2014, quando a empresa começou a rastrear essas informações.

Abaixo, a lista das vulnerabilidades atuais de dia zero deste ano.

1. Firefox (CVE-2019-17026)

Esse dia zero foi usado como parte de uma combinação com outro, listado abaixo.

2. Internet Explorer (CVE-2020-0674)

O dia zero do Firefox e este foram usados por um grupo de hackers conhecido como DarkHotel. Usados para espionar alvos localizados na China e no Japão, foram descobertos pelo Qihoo 360 (fabricante de antivírus chinês) e pelo JPCERT (Equipe de Resposta a Emergências de Computador do Japão).

As vítimas dessa campanha foram redirecionadas para um site no Firefox ou Internet Explorer e, em seguida, infectadas pelo Cavalo de Troia de acesso remoto chamado de Gh0st.

3. Chrome (CVE-2020-6418)

Esse dia zero foi detectado pelo Grupo de Análise de Ameaças do Google, e detalhes sobre os ataques em que foi usado nunca foram divulgados.

4. e 5. Trend Micro OfficeScan (CVE-2020-8467 e CVE-2020-8468)

Os dois dias zero foram descobertos internamente pela equipe da Trend Micro. Acredita-se que descobriram sua existência enquanto a empresa investigava um dia zero em 2019 no mesmo produto que foi usado para invadir a Mitsubishi Electric.

6. e 7. Firefox (CVE-2020-6819 e CVE-2020-6820)

Detalhes sobre os ataques em que esses dois dias zero do Firefox foram usados ainda não foram divulgados. Contudo, os pesquisadores de segurança sugeriram que eles possam fazer parte de uma cadeia de exploração ainda maior.

8. e 9. e 10. (CVE-2020-0938, CVE-2020-1020 e CVE-2020-1027)

Todos os três erros foram descobertos e relatados à Microsoft pelo Google TAG. Como a maioria das descobertas do Google TAG, ainda não foram publicados detalhes sobre os ataques.

11. Sophos XG Firewall (CVE 2020-12271)

Um grupo de hackers descobriu no início deste ano um dia zero no XG, um produto de firewall desenvolvido pela empresa de segurança britânica Sophos. Era uma injeção de SQL no painel de gerenciamento do firewall, que permitiu que hackers implantassem o backdoor do trojan Asnarok.

A Sophos disse que os criminosos tentaram usar o ransomware Ragnarok em hosts infectados quando a falha tornou-se notícia, mas a empresa diz que bloqueou a maioria das tentativas.

Os ataques de 2019

O relatório Zero-Day Year in Review 2019 analisou detalhadamente como as empresas de segurança estão descobrindo cada um deles, quais produtos de software são mais impactados, porque e quais são as principais causas para a maioria das falhas. Seguem abaixo alguns destaques:

– Em 2019, o Google diz que detectou 20 dias zero.

– Onze dos 20 dias zero impactaram produtos da Microsoft.

– Nenhum dia zero explorado ativamente foi encontrado no Linux, Safari ou macOS desde 2014, quando o Google começou a rastrear essas estatísticas.

– 2019 foi o primeiro ano em que um dia zero do Android foi descoberto.

– Nem todos os dias zero afetaram a versão mais recente dos softwares ou sistemas operacionais pesquisados.

– O Google diz que há um porém quanto à detecção em relação à Microsoft, pois há mais ferramentas de segurança especializadas na busca por erros do Windows.

– 63% das vulnerabilidades de Zero dia de 2019 foram erros de corrupção de memória (o mesmo percentual se aplica a 2020 até o momento). Isso também está de acordo com as estatísticas divulgadas pela Microsoft e pelo Google em 2019. Ambas alegam que 70% dos erros de segurança de toda a Microsoft e 70% de todas as vulnerabilidades do Chrome são problemas de segurança de memória.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

Abaixo, a lista das vulnerabilidades atuais de dia zero deste ano.

1. Firefox (CVE-2019-17026)

2. Internet Explorer (CVE-2020-0674)

3. Chrome (CVE-2020-6418)

4. e 5. Trend Micro OfficeScan (CVE-2020-8467 e CVE-2020-8468)

6. e 7. Firefox (CVE-2020-6819 e CVE-2020-6820)

8. e 9. e 10. (CVE-2020-0938, CVE-2020-1020 e CVE-2020-1027)

11. Sophos XG Firewall (CVE 2020-12271)

Os ataques de 2019

O pecado da maçã

Blogspot não é mais um domínio do Google

Cadastre-se em nossa newsletter