Google a publié son rapport annuel sur les vulnérabilités de 0 jour, présentant des statistiques d’exploitation à l’état sauvage à partir de 2022 et mettant en évidence un problème de longue date dans la plate-forme Android qui élève la valeur et l’utilisation des failles divulguées pendant de longues périodes.
Plus précisément, le rapport de Google met en évidence le problème des jours n dans Android fonctionnant comme des jours 0 pour les acteurs de la menace.
Le problème provient de la complexité de l’écosystème Android, impliquant plusieurs étapes entre le fournisseur en amont (Google) et le fabricant en aval (fabricants de téléphones), des écarts importants dans les intervalles de mise à jour de sécurité entre les différents modèles d’appareils, des périodes de support courtes, des confusions de responsabilité, etc. questions.
Une vulnérabilité zero-day est une faille logicielle connue avant qu’un fournisseur n’en prenne connaissance ou ne la corrige, ce qui lui permet d’être exploitée dans des attaques avant qu’un correctif ne soit disponible. Cependant, une vulnérabilité n-day est une vulnérabilité publiquement connue avec ou sans correctif.
Par exemple, si un bogue est connu dans Android avant Google, on l’appelle un jour zéro. Cependant, une fois que Google en a connaissance, cela devient un n-jour, le n reflétant le nombre de jours depuis qu’il est devenu public.
Google avertit que les attaquants peuvent utiliser n-days pour attaquer des appareils non corrigés pendant des mois, en utilisant des méthodes d’exploitation connues ou en concevant les leurs, malgré un correctif déjà mis à disposition par Google ou un autre fournisseur.
Cela est dû à des lacunes dans les correctifs, où Google ou un autre fournisseur corrige un bogue, mais il faut des mois à un fabricant d’appareils pour le déployer dans ses propres versions d’Android.
« Ces écarts entre les fournisseurs en amont et les fabricants en aval permettent aux n-jours – des vulnérabilités publiquement connues – de fonctionner comme des 0-jours car aucun correctif n’est facilement disponible pour l’utilisateur et leur seule défense est d’arrêter d’utiliser l’appareil », explique le rapport de Google. .
« Bien que ces écarts existent dans la plupart des relations en amont/aval, ils sont plus répandus et plus longs dans Android. »
N jours aussi efficaces que 0 jours
En 2022, de nombreux problèmes de ce type ont impacté Android, notamment CVE-2022-38181, une vulnérabilité du GPU ARM Mali. Cette faille a été signalée à l’équipe Android Security en juillet 2022, considérée comme « ne sera pas corrigée », corrigée par ARM en octobre 2022 et finalement intégrée dans la mise à jour de sécurité Android d’avril 2023.
Cette faille a été exploitée à l’état sauvage en novembre 2022, un mois après la publication d’un correctif par ARM.
L’exploitation s’est poursuivie sans relâche jusqu’en avril 2023, lorsque la mise à jour de sécurité Android a poussé le correctif, six mois après qu’ARM a résolu le problème de sécurité.
- CVE-2022-3038 : Faille d’échappement du bac à sable dans Chrome 105, qui a été corrigée en juin 2022, mais qui n’a pas été résolue sur les navigateurs des fournisseurs basés sur des versions antérieures de Chrome, comme le « navigateur Internet » de Samsung.
- CVE-2022-22706 : Faille dans le pilote du noyau GPU ARM Mali corrigée par le fournisseur en janvier 2022.
Il a été découvert que les deux failles avaient été exploitées en décembre 2022 dans le cadre d’une chaîne d’attaques qui infectait les appareils Samsung Android avec des logiciels espions.
Samsung a publié une mise à jour de sécurité pour CVE-2022-22706 en mai 2023, tandis que la mise à jour de sécurité Android a adopté le correctif d’ARM sur la mise à jour de sécurité de juin 2023, enregistrant un retard stupéfiant de 17 mois.
Même après que Google a publié la mise à jour de sécurité Android, il faut jusqu’à trois mois aux fournisseurs d’appareils pour rendre les correctifs disponibles pour les modèles pris en charge, offrant aux attaquants une autre fenêtre d’opportunité d’exploitation pour des appareils spécifiques.
Cet écart de patch rend effectivement un n-day aussi précieux qu’un zero-day pour les acteurs de la menace qui peuvent l’exploiter sur des appareils non corrigés. Certains peuvent considérer ces n-days plus utiles que les zero-days car les détails techniques ont déjà été publiés, potentiellement avec des exploits de preuve de concept (PoC), ce qui permet aux acteurs de la menace d’en abuser plus facilement.
La bonne nouvelle est que le récapitulatif d’activité 2022 de Google montre que les failles zero-day sont en baisse par rapport à 2021, à 41 trouvées, tandis que la baisse la plus importante a été enregistrée dans la catégorie des navigateurs, qui comptait 15 failles l’an dernier (contre 26 en 2021).
Une autre découverte notable est que plus de 40 % des vulnérabilités zero-day découvertes en 2022 étaient des variantes de failles précédemment signalées, car il est généralement plus facile de contourner les correctifs pour les failles connues que de trouver un nouveau 0-day qui peut servir sur des chaînes d’attaque similaires.