Especialistas encontraram um número recorde de hacks de dia zero em 2021

gurinho

O Google publicou a revisão de 2021 do Project Zero, revelando uma quantidade recorde de explorações de dia zero (rotulado como “um dos métodos de ataque mais avançados”) exibidos por algumas das maiores empresas de tecnologia do mundo.

O Project Zero é uma iniciativa iniciada pelo Google em 2014 com o objetivo de detalhar defeitos de segurança conhecidos como explorações de dia zero. Essas vulnerabilidades são perigosas, pois permanecem essencialmente não detectadas, a menos que um sistema de mitigação tenha sido implementado, deixando sistemas, bancos de dados e similares completamente expostos a hackers.

Uma representação digital de um laptop sendo invadido por um hacker.
Gráfico de tendências digitais

O relatório de final de ano de 2021 confirmou que 58 explorações de dia zero foram descobertas. Essa é a maior quantidade detectada desde o início do Project Zero – 2015 foi o recordista anterior com um total de 28 exploits digitais.

Comparativamente, no auge da pandemia que viu os hackers intensificarem seus esforços em atividades maliciosas de crimes cibernéticos , a equipe de segurança do Google divulgou 25 falhas de segurança durante 2020.

O Google enfatizou que o recorde de 58 explorações de dia zero que foram detalhadas publicamente não são necessariamente uma indicação de “aumento do uso de explorações de dia zero”. Pelo contrário, a empresa atribui isso ao “aumento da detecção e divulgação desses dias zero”.

“É altamente provável que, em 2021, houvesse outros dias zero que foram explorados e detectados, mas os fornecedores não mencionaram isso em suas notas de lançamento. Em 2022, esperamos que mais fornecedores comecem a notar quando corrigirem vulnerabilidades que foram exploradas à solta. Até que estejamos confiantes de que todos os fornecedores estão divulgando de forma transparente o status selvagem, há uma grande questão de quantos zero-days selvagens são descobertos, mas não rotulados publicamente pelos fornecedores.”

A primeira exploração de dia zero do relatório que foi analisada envolveu o próprio Chromium do Google, que fornece o código-fonte aberto para seu navegador Chrome.

O Chromium registrou um recorde de 14 bugs de dia zero. Entre os exploits estavam 10 bugs de execução remota de código, 2 escapes de sandbox e 1 infoleak. O bug final de dia zero resultou em hackers tentando abrir uma página da Web em aplicativos baseados no Android em vez do Chrome.

Em outros lugares, sete dias zero do Android foram identificados – um grande salto em relação ao único exploit encontrado em 2019, que aliás foi a única outra descoberta da equipe do Project Zero referente ao sistema operacional móvel do Google.

Apple, iOS, MacOS e Windows

O Google também mencionou o WebKit, que é o mecanismo de navegador da Apple que alimenta o Safari. De acordo com o Google, antes de 2021, a Apple revelou apenas um exploit público de dia zero que foi projetado para se infiltrar no WebKit/Safari. Mesmo assim, a divulgação se materializou por meio de um estudo de um pesquisador terceirizado.

No entanto, em 2021, havia sete dias zero associados ao navegador da Apple, quatro dos quais estavam envolvidos no componente Javascript Engine do Safari.

Rompendo com a natureza anteriormente secreta da gigante da tecnologia quando se tratava de detalhar explorações de dia 0, “2021 foi o primeiro ano completo em que a Apple anotou suas notas de lançamento com o status selvagem de vulnerabilidades”.

Para esse fim, cinco dias zero do iOS foram confirmados pela Apple, enquanto o primeiro dia zero do MacOS descoberto publicamente também foi descoberto.

A Apple dá grande importância às suas medidas de segurança para sistemas baseados em iOS e Mac. Afinal,deu a um estudante $ 100.000 por hackear o último .

Quanto à Microsoft, o Google detalhou 10 dias zero do Windows que visavam sete elementos separados, incluindo provedor de criptografia aprimorado (sem surpresa, é claro), kernel NTOS e Win32k.

“O Windows é a plataforma onde vimos a maior mudança nos componentes direcionados em comparação com os anos anteriores. No entanto, essa mudança geralmente está em andamento há alguns anos e prevista com o fim da vida útil do Windows 7 em 2020 e, portanto, ainda não é especialmente novo”, disse o Google.

O Windows 11 também foi submetido a um hack de dia zero após seu lançamento . A Microsoft, no entanto, não paga tão generosamente quanto a Apple quando se trata de descobertas de bugs em alguns casos: os pagamentos aparentemente foram reduzidos de US$ 10.000 para US$ 1.000.

Além disso, durante 2021, foram encontrados cinco dias zero conectados ao Microsoft Exchange Server. “Esta é a primeira vez que um Exchange Server em zero-days selvagem foi detectado e divulgado desde que começamos a rastrear os zero-days selvagens”, acrescentou o relatório.

Hackers seguem métodos testados e comprovados

Um par de mãos em um teclado de laptop com dois monitores.

Na seção Ano Novo, Técnicas Antigas do relatório, o Google enfatizou que, apesar do número recorde de “pontos de dados” em 2021 “para entender como os invasores estão realmente usando explorações de dia zero”, ficou realmente surpreso por reconhecer todos esses dados – “ não havia nada de novo.”

“As explorações de dia zero são consideradas um dos métodos de ataque mais avançados que um ator pode usar, portanto, seria fácil concluir que os invasores devem estar usando truques especiais e superfícies de ataque. Mas, em vez disso, os dias zero que vimos em 2021 geralmente seguiram os mesmos padrões de bugs, superfícies de ataque e “formas” de exploração vistas anteriormente em pesquisas públicas.

Cerca de 67% das 58 explorações de dia zero foram vulnerabilidades de corrupção de memória. O Google disse que isso não deveria ser uma surpresa quando você considera o fato de que essa categoria específica é o método principal para encontrar um caminho para o software “nas últimas décadas”, e é em grande parte o motivo pelo qual os invasores continuam a obter acesso com sucesso aos seus alvos.

O Google encerrou seu relatório com uma declaração sobre o impacto das explorações de dia zero e as consequências de um ataque bem-sucedido.

“Embora a maioria das pessoas no planeta não precise se preocupar com seu próprio risco pessoal de ser alvo de dias zero, a exploração de dia zero ainda afeta a todos nós. Esses dias zero tendem a ter um impacto desproporcional na sociedade, então precisamos continuar fazendo o que pudermos para dificultar o sucesso dos invasores nesses ataques. 2021 nos mostrou que estamos no caminho certo e progredindo, mas há muito mais a ser feito para tornar o dia zero difícil.”

Com o mundo se tornando mais digital e tecnológico do que nunca, os cibercriminosos estão ganhando bilhões de dólares explorando indivíduos.

Com um aumento nos crimes cibernéticos em geral, quase US $ 7 bilhões foram roubados de pessoas no ano passado , o que é amplamente atribuído a certos tipos de crimes, como violação de dados pessoais ( limpe suas senhas ) e ransomware.