De acordo com dados coletados pela equipe de segurança do Projeto Zero do Google, 11 vulnerabilidades de dia zero foram detectadas nos primeiros seis meses deste ano. O número sugere que 2020 terá, no mínimo, tantas brechas de dia zero quanto 2019, quando os pesquisadores de segurança do Google rastrearam 20 falhas de dia zero.
Detalhes sobre essas vulnerabilidades foram apresentados em uma planilha elaborada pelos pesquisadores de segurança do Google, que a empresa tornou pública no início deste ano. A planilha contém estatísticas internas do Google sobre o uso de bugs de dia zero in natura desde 2014, quando a empresa começou a rastrear essas falhas.
A seguir, listamos as vulnerabilidades de dia zero descobertas pelo Google neste ano e um resumo das conclusões mais importantes do primeiro relatório “Zero-Day Year in Review” do Google, divulgado na semana passada, detalhando as vulnerabilidades de dia zero e suas causas.
1. Firefox (CVE-2019-17026)
Essa brecha de dia zero foi usada como parte de uma combinação com outro bug de dia zero (veja logo abaixo).
2. Internet Explorer (CVE-2020-0674)
A vulnerabilidade CVE-2020-0674 se tornou conhecida após o lançamento do pacote de atualizações da Microsoft para o mês de janeiro. A falha afeta o Internet Explorer (IE) e a própria empresa confirmou que ela já havia sido explorada em ataques direcionados, apesar de não ter lançado nenhum patch para corrigi-la.
Essa vulnerabilidade foi usada por um grupo de hackers de Estado-nação, conhecido como DarkHotel, que se acredita estar operando fora da península coreana (Coréia do Norte ou Coréia do Sul). Os dois bugs de dia zero — Firefox (CVE-2019-17026) e IE CVE-2020-0674 — foram usados para espionar alvos localizados na China e no Japão, e foram descobertos pela fabricante de antivírus chinesa Qihoo 360 e pelo JPCERT, Equipe de Resposta a Emergências de Computador do Japão.
As vítimas dessa campanha foram redirecionadas para um site em que seriam usadas as brechas de dia zero no Firefox ou no IE e, em seguida, infectadas pelo cavalo de Troia de acesso remoto Gh0st.
3. Chrome (CVE-2020-6418)
Esse dia zero foi detectado explorado pelo Grupo de Análise de Ameaças do Google; detalhes sobre os ataques em que foi usado nunca foram divulgados.
4. e 5. Trend Micro OfficeScan (CVE-2020-8467 e CVE-2020-8468)
Os dois bugs de dia zero foram descobertos pela equipe da Trend Micro. Acredita-se que as falhas foram descobertas enquanto a empresa de segurança cibernética investigava uma falha de dia zero em 2019 no mesmo produto que foi usado para invadir a Mitsubishi Electric.
6. e 7. Firefox (CVE-2020-6819 e CVE-2020-6820)
Detalhes sobre os ataques em que essas duas vulnerabilidades de dia zero do Firefox foram usadas ainda não foram divulgados, embora os pesquisadores de segurança tenham sugerido que eles possam fazer parte de uma cadeia de exploração maior.
8. e 9. e 10. (CVE-2020-0938, CVE-2020-1020 e CVE-2020-1027)
Todos os três erros foram descobertos e relatados à Microsoft pelo Google TAG e, assim como a maioria das descobertas do grupo, ainda não foram divulgados detalhes sobre os ataques.
11. Sophos XG Firewall (CVE 2020-12271)
Um grupo de hackers descobriu no início deste ano uma brecha de dia zero no XG, um firewall desenvolvido pela empresa de segurança britânica Sophos. A falha, uma injeção de SQL no painel de gerenciamento do firewall, permitiu que hackers plantassem a backdoor do Asnarok em sistemas infectados. Em uma investigação, a Sophos disse que os hackers tentaram implantar o ransomware Ragnarok em hosts infectados quando o bug de dia zero chegou a ser noticiado, mas a empresa diz que bloqueou a maioria das tentativas.
Veja isso
Nova botnet explora vulnerabilidades do Windows SMB
Brechas no Oracle E-business Suite podem paralisar operações
ANÁLISE DAS BRECHAS DE DIA ZERO EM 2019
Afora as vulnerabilidades de dia zero deste ano, vale mostrar os resultados das análises feitas pelo Google sobre as falhas do ano passado. A lista de marcadores abaixo contém as principais conclusões do Google a partir do relatório “Zero-Day Year in Review 2019”, que analisou detalhadamente como as empresas de segurança estão descobrindo brechas de dia zero, quais os softwares são mais impactados e por que e quais são as principais causas para a maioria das falhas de dia zero.
• Em 2019, o Google diz que detectou 20 vulnerabilidades dia zero.
• Onze das 20 brechas foram em produtos da Microsoft.
• Duas empresas descobriram metade de todas as vulnerabilidades de dia zero de 2019 (o Google descobriu sete e a Kaspersky, quatro).
• Nenhuma brecha de dia zero explorada ativamente foi encontrada nos sistemas operacionais Linux, Safari e macOS desde 2014, quando o Google começou a rastrear essas vulnerabilidades.
• 2019 foi o primeiro ano em que uma falha de dia zero no Android foi descoberta.
• Nem todos as vulnerabilidades de dia zero impactaram a versão mais recente do Android.
• O Google suspeita que alguns fornecedores de software estão ocultando as brechas de dia zero como correções de bugs comuns.
• O Google diz que há um viés de detecção em relação à Microsoft, pois há mais ferramentas de segurança especializadas na detecção de bugs no Windows.
• O Google diz que é difícil encontrar falhas de dia zero em plataformas móveis devido as abordagens de “jardim murado” e sandbox de aplicativos.
• 63% das vulnerabilidades de dia zero de 2019 foram erros de corrupção de memória (o mesmo percentual também se aplica aos bugs de dia zero de 2020. Isso também está de acordo com as estatísticas divulgadas pela Microsoft e pelo Google em 2019, ambas alegando que 70% de todos os erros de segurança da Microsoft e 70% de todas as vulnerabilidades do Chrome são problemas de segurança de memória (em 2020, 63% de todos os bugs).
• O Google planeja publicar um relatório anual do “Zero-Day Year” a cada ano, daqui para frente.