L’anno scorso, l’industria tecnologica ha rilevato e divulgato 58 exploit zero-day, il massimo mai registrato in un solo anno, secondo Google.
Il numero rappresenta un drastico aumento rispetto ai 25 exploit zero-day che l’industria ha rilevato nel 2020, ma non significa necessariamente che il nostro software sta diventando più insicuro. Invece, Google dice: “Crediamo che il grande aumento degli 0-days in-the-wild nel 2021 sia dovuto all’aumento del rilevamento e della divulgazione di questi 0-days, piuttosto che semplicemente all’aumento dell’uso degli exploit 0-day“.
L’azienda ha annunciato i risultati in un post sul blog. Dal 2014, il gigante della ricerca ha monitorato gli exploit zero-day, o gli attacchi informatici che sfruttano una vulnerabilità precedentemente sconosciuta che non ha patch. L’obiettivo dietro il monitoraggio è quello di analizzare le tendenze e valutare se l’industria sta facendo abbastanza per fermare il problema.
Anche se il numero di zero-days è aumentato nel 2021, lo stesso ha fatto il numero di organizzazioni che hanno segnalato le minacce, che ha raggiunto 20, o il doppio rispetto all’anno precedente. “Aneddoticamente, sentiamo da più persone che hanno iniziato a lavorare di più sul rilevamento degli exploit 0-day“, ha aggiunto Google. “È logico che se il numero di persone che lavorano per cercare di trovare exploit 0-day aumenta, allora il numero di exploit 0-day in-the-wild rilevati può aumentare“.
L’altro fattore è il modo in cui sia il team Android di Google che Apple stanno annotando correttamente quando una vulnerabilità rivelata è un exploit zero-day, piuttosto che lasciarlo non chiaro. Come risultato, altri 12 exploit zero-day sono stati aggiunti alla lista 2021.
Una maggiore trasparenza è un bene per la sicurezza IT. Ma un problema persistente è come molti degli exploit zero-day rilevati nel 2021 sono variazioni di tecniche di hacking esistenti e pubblicamente note.
“Quando esaminiamo questi 58 0-days utilizzati nel 2021, ciò che vediamo invece sono 0-days che sono simili a vulnerabilità precedenti e pubblicamente note“, ha detto la società, aggiungendo però: “Ci aspetteremmo che per avere successo, gli aggressori dovrebbero trovare nuove classi di vulnerabilità in nuove superfici di attacco usando metodi di sfruttamento mai visti prima. In generale, questo non era ciò che i dati ci hanno mostrato quest’anno“.
Invece, gli hacker dietro gli attacchi zero-day probabilmente hanno avuto un tempo più facile per sviluppare i loro exploit. Google ha aggiunto che la maggior parte degli attacchi zero-day, il 67%, ha sfruttato le vulnerabilità di corruzione della memoria, che di solito derivano da errori di programmazione nel codice del computer.
Solo due vulnerabilità che si sono distinte per l’azienda hanno coinvolto l’exploit zero-day ForcedEntry dello scorso settembre, che ha preso di mira i dispositivi iOS e Mac e probabilmente proveniva da una società israeliana di spyware chiamata NSO Group. L’exploit ForcedEntry era così potente che era in grado di prendere il controllo di un iPhone semplicemente inviando un messaggio alla vittima, senza alcuna interazione dell’utente. Google ha descritto questo attacco zero-click come una “impressionante opera d’arte” per la sua sofisticazione tecnica e il suo uso di falle logiche invece di bug di corruzione della memoria.
