De los 58 exploits de día cero en software que el Proyecto Zero (Project Zero, creado hace años o GPZ por sus iniciales) de Google rastreó en 2021, sólo dos fueron particularmente novedosos, mientras que el resto se basaba en las mismas técnicas una y otra vez, según las palabras de los ingenieros de Google.
Entre las conclusiones de este grupo de seguridad de Google tenemos que 2021 fue un año récord en cuanto al número de fallos de día cero en software como Chrome, Windows, Safari, Android, iOS, Firefox, Office y Exchange que Google Project Zero (GPZ) comprobó que se habían explotado antes de que los proveedores hubieran sacado un parche para ponerles remedio.
Esta cifra supone el doble de la tasa anual media que esta unidad de Google ha ido registrando desde el año 2014.
Ha mejorado la detección
La empresa recuerda que el hecho de que un fallo no se haya detectado no significa que no se haya utilizado. Google ha argumentado que la detección está mejorando. Pero también se encontró una laguna de información: sólo había cinco muestras de los exploits utilizados contra cada una de las 58 vulnerabilidades.
Maddie Stone, investigadora de GPZ, señala en un blog que «sin la muestra del exploit o una redacción técnica detallada basada en la muestra, sólo podemos centrarnos en solucionar la vulnerabilidad en lugar de mitigar el método de explotación».
Este enfoque significa que los atacantes pueden seguir utilizando sus métodos de explotación existentes en lugar de tener que volver a la fase de diseño y desarrollo para construir un nuevo método de explotación, dice.
Esto se traduce a que Google ha comprobado que los atacantes utilizan los mismos patrones de errores y técnicas de explotación y van tras las mismas superficies de ataque. «Esta repetición significa que los atacantes aún no se ven obligados a invertir en nuevos métodos».
La conclusión de GPZ es que la industria hizo «algunos progresos» en 2021 a través de una mejor detección y divulgación, pero Stone añade que «como industria no estamos haciendo que los 0-days sean difíciles».
Vía | ZDnet