Google explique l’augmentation des exploits dans la nature
Il semble y avoir une augmentation de la phrase « l’exploit pour CVE-1234-567 existe dans la nature » dans les récents blogs Chrome. C’est naturellement alarmant pour la plupart des utilisateurs de Chrome. Cependant, alors que l’augmentation des exploits pourrait effectivement être inquiétante, Chrome Security a expliqué que la tendance pourrait également être révélatrice d’une visibilité accrue sur l’exploitation. Alors, lequel est-ce ?
La tendance est probablement causée par les deux raisons, selon Adrian Taylor de Chrome Security dans un blog pour clarifier certaines idées fausses à ce sujet.
Project Zero a traqué tous les bugs zero-day identifiés dans la nature pour les navigateurs, y compris WebKit, Internet Explorer, Flash, Firefoxet Chrome.
L’augmentation de ces exploitations dans Chrome est assez perceptible de 2019 à 2021. Au contraire, aucun bug zero-day n’a été enregistré dans Chrome de 2015 à 2018. Chrome Security précise que cela ne signifie pas qu’il n’y a eu aucune exploitation. dans les navigateurs basés sur Chromium au cours de ces années. Il reconnaît ne pas avoir une vue complète de l’exploitation active et les données disponibles pourraient avoir un biais d’échantillonnage.
Alors pourquoi y a-t-il beaucoup d’exploits maintenant ? Chrome Security attribue cela à quatre raisons possibles : la transparence du fournisseur, l’évolution de la concentration des attaquants, l’achèvement du projet d’isolation de site et la relation entre la complexité et les bogues logiciels.
Premièrement, de nombreux fabricants de navigateurs publient désormais des détails sur ces exploitations via leurs communiqués de presse. Ce n’était pas la pratique dans le passé où les fabricants de navigateurs n’annonçaient pas qu’un bogue était attaqué même s’ils en étaient conscients.
Deuxièmement, il y a une évolution dans l’orientation de l’attaquant. Début 2020, Edge est passé au moteur de rendu Chromium. Naturellement, les attaquants optent pour la cible la plus populaire, car ils pourraient alors attaquer plus d’utilisateurs.
Troisièmement, l’augmentation des bogues pourrait être due à l’achèvement récent du projet pluriannuel d’isolation de site, rendant un bogue presque insuffisant pour faire beaucoup de mal. En tant que telles, les attaques du passé qui ne nécessitaient qu’un seul bogue en avaient désormais besoin de plus. Avant 2015, plusieurs pages Web ne se trouvaient que dans un seul processus de rendu, ce qui permettait de voler les données des utilisateurs sur d’autres sites Web avec un seul bogue. Avec le projet Site Isolation, les trackers doivent enchaîner deux bogues ou plus pour compromettre le processus de rendu et sauter dans le processus du navigateur ou le système d’exploitation Chrome.
Enfin, cela pourrait être dû au simple fait que les logiciels ont des bogues, et qu’une fraction d’entre eux pourrait être exploitée. Les navigateurs reflètent la complexité du système d’exploitation, et une grande complexité équivaut à plus de bogues.
Ces choses signifient que le nombre de bogues exploités n’est pas une mesure exacte du risque de sécurité. L’équipe Chrome, cependant, assure qu’elle travaille dur pour détecter et corriger les bugs avant la sortie. En termes d’attaques n-day (exploitation sur des bugs déjà corrigés), il y avait eu une nette réduction de leur « patch gap » de 35 jours dans Chrome (76 à 18 jours en moyenne). Ils sont également impatients de réduire davantage cela.
Néanmoins, Chrome a reconnu que quelle que soit la vitesse à laquelle ils tentent de réparer l’exploitation dans la nature, ces attaques sont mauvaises. En tant que tels, ils s’efforcent vraiment de rendre l’attaque coûteuse et compliquée pour l’ennemi. Les projets spécifiques que Chrome prend en charge incluent le renforcement continu de l’isolation du site, surtout pour Androïdbac à sable de tas V8, Projets MiraclePtr et Scan, langages sécurisés en mémoire en écrivant de nouvelles pièces Chrome et des mesures d’atténuation post-exploitation.
Chrome travaille dur pour assurer la sécurité à travers ces grands projets d’ingénierie de sécurité. Les utilisateurs peuvent faire quelque chose de simple pour aider, cependant. Si Chrome vous rappelle de mettre à jour, faites-le.