Google : Onze failles 0day exploitées par des cybercriminels au 1er semestre 2020

Spread the love
  • Yum

Google : Onze failles 0day exploitées par des cybercriminels au 1er semestre 2020

Selon les données recueillies par l’équipe de sécurité du Projet Zero de Google, 11 vulnérabilités de type “zero-day” ont été exploitées par des attaquants au cours du premier semestre de l’année.

Le chiffre actuel met 2020 sur la bonne voie pour voir autant de failles 0day que l’année précédente :les chercheurs en sécurité de Google ont déclaré avoir suivi 20 failles 0day toute l’année dernière.

publicité

Des détails sur ces 0day ont été obtenus à partir de [ce tableur] (https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=1869060786) géré par les chercheurs en sécurité de Google, que la société a rendu public au début de l’année. Ce tableur contient les statistiques internes de Google sur l’utilisation des 0day par des attaquants. Les données remontent à 2014, date à laquelle la société a commencé à suivre ces statistiques.

Nous énumérons ci-dessous les vulnérabilités 0day decouvertes en 2020

Nous résumons également ci-dessous les conclusions les plus importantes du premier rapport “Zero-Day Year in Review” de Google, que la société a publié la semaine dernière et qui détaille les 0day de 2019 et leurs causes.


2020 : les 0day du1er semestre

1. Firefox (CVE-2019-17026)

Cette faille a été utilisée dans le cadre d’une combinaison avec un autre 0day. Voir ci-dessous.

Corrigé ici, dans Firefox 72.0.1.

2. Internet Explorer (CVE-2020-0674)

Les deux failles 0day Firefox cités ci-dessus et celle-ci ont été utilisés par un groupe de piratage informatique connu sous le nom de DarkHotel. On le soupconne d’operer depuis la péninsule coréenne mais on ne sait pas s’il est originaire de Corée du Nord ou de Corée du Sud. Les deux failles 0day ont été utilisées pour espionner des cibles situées en Chine et au Japon, d’où leur découverte par Qihoo 360 (fabricant chinois d’antivirus) et le JPCERT (Computer Emergency Response Team du Japon).

Les victimes de cette campagne ont été redirigées vers un site web qui exploitait des failles 0day sur Firefox et Internet Explorer, puis elles ont été infectées par le cheval de Troie d’accès à distance Gh0st.

Corrigé ici, dans le Microsoft Patch Tuesday de février 2020.

3. Chrome (CVE-2020-6418)

Cette faille 0day a été détectée par le groupe d’analyse des menaces (Threat Analysis Group) de Google, et les détails sur les attaques où elle a été utilisée n’ont jamais été divulgués.

Corrigé ici, dans la version Chrome 80.0.3987.122.

4. && ; 5. Trend Micro OfficeScan (CVE-2020-8467 et CVE-2020-8468)

Les deux failles ont été découvertes en interne par les équipes de Trend Micro. On pense que ces failles 0day ont été découvertes alors que Trend Micro enquêtait sur une 0day de 2019 dans le même produit qui a été utilisé pour pirater Mitsubishi Electric.

Corrigées ici.

6. && ; 7. Firefox (CVE-2020-6819 et CVE-2020-6820)

Les détails des attaques où ces deux 0day Firefox ont été utilisées n’ont pas encore été publiés, bien que les chercheurs en sécurité aient suggéré qu’ils pourraient faire partie d’une plus grande chaîne d’exploitation.

Corrigées ici, dans Firefox 74.0.1.

8. && ; 9. && ; 10. (CVE-2020-0938, CVE-2020-1020, et CVE-2020-1027)

Ces trois bugs ont été découverts et signalés à Microsoft par Google TAG, et comme la plupart des découvertes de Google TAG, aucun détail sur les attaques n’a été publié – pour l’instant.

Corrigées ici, ici, and ici, dans le cadre du Patch Tuesday d’avril 2020.

11. Pare-feu Sophos XG (CVE 2020-12271)

Un groupe de hackers a découvert plus tôt cette année une faille 0day dans XG, un pare-feu de haut niveau développé par la société de sécurité britannique Sophos. Cette faille, une injection SQL dans le panneau de gestion du pare-feu, a permis aux pirates de installer la porte dérobée Asnarok sur les systèmes infectés. Lors d’une enquête, Sophos a déclaré que les pirates avaient essayé de déployer le logiciel de rançon Ragnarok (https://www.zdnet.com/article/hackers-tried-and-failed-to-install-ransomware-using-a-zero-day-in-sophos-firewalls/) sur les machines infectées, mais la société a déclaré avoir bloqué la plupart des tentatives.

Corrigée ici.


Analyse des 0day de 2019

Mettons de côté les failles de cette année, et jetons un coup d’œil à l’analyse de Google sur les 0day de l’année dernière.

La liste ci-dessous contient les principales conclusions du rapport de Google 2019 Zero-Day Year in Review, qui a examiné en détail comment les entreprises de sécurité découvrent les failles 0day, quels logiciels sont les plus touchés, pourquoi et quelles sont les principales causes de la plupart des faille 0day.

  • En 2019, Google dit avoir détecté 20 failles 0day.

  • Onze de ces 20 failles affectaient les produits Microsoft.

  • Deux entreprises ont découvert la moitié de toutes les failles 0day de 2019 (Google en a découvert 7 et Kaspersky 4).

    zero-days-2019.png

    Image : Google Project Zero

  • Aucune faille 0day exploitée par les attaquants n’a été trouvée dans Linux, Safari ou macOS depuis 2014, date à laquelle Google a commencé à suivre cette statistique.

  • 2019 a été la première année où une faille 0day Android a été découverte.

  • Toutes les failles 0day n’ont pas eu d’impact sur la dernière version du système d’exploitation/logiciel.

  • Google soupçonne certains fournisseurs de logiciels de cacher des failles 0day activement exploités par des attaquants en les corrigeant comme des failles banales.

  • Google affirme qu’il y a un biais de détection en faveur de Microsoft, car il y a plus d’outils de sécurité spécialisés dans la détection des bugs Windows.

  • Google affirme qu’il est difficile de trouver des failles 0day sur les plateformes mobiles en raison des approches de type “walled garden” et “app sandbox”.

  • 63% des vulnérabilités 0-day de 2019 étaient des bugs de corruption de la mémoire ( Ce taux de 63% s’applique également aux failles du premier semestre de 2020. Cela correspond également aux statistiques publiées par Microsoft et Google en 2019, qui affirment que 70 % de tous les bugs de sécurité de Microsoft et 70 % de toutes les vulnérabilités de Chrome sont des problèmes de sécurité de la mémoire)

    Google a déclaré qu’il prévoyait dorénavant de publier chaque année un rapport “Zero-Day Year in Review”.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *