Los 0days en números: Chrome, Windows, Exchange… ¿Qué buscan los atacantes y los fabricantes?

Interesantísimos los datos del Project Zero de Google que intenta catalogar, encontrar y difundir 0days. No los descubren directamente, sino que los “detectan” en cualquier fabricante cuando están siendo aprovechados si ellos lo declaran así. Así pueden analizar, alertar y corregir para cerrar esa puerta a los atacantes cuanto antes.

Abogan por catalogar los 0day adecuadamente y ser transparentes para mejorar la comunidad. Por ejemplo, el punto de partida es que los fabricantes etiqueten bien sus vulnerabilidades (si están in-the-wild) o no cuando son detectadas o corregidas. Este año han detectado 58. El anterior récord es de 28 en 2015. Project Zero trabaja desde 2014.

Los 0days son vulnerabilidades encontradas cuando ya está siendo aprovechadas por atacantes y, por tanto, sin parche conocido.

Los números que arrojan este seguimiento son de lo más interesante. Si los dividimos por grandes fabricantes durante 2021 quedaría como en esta gráfica.

0days declarados por fabricante en 2021

¿Significa esta gráfica que Chrome tiene más fallos y es más vulnerable? Para nada. De hecho, de esta gráfica se desprende tanta información que es necesario dividir el discurso.

Chrome

14 0days reportados en 2021. Sin duda, el navegador es el que más interés está despertando entre los atacantes desde hace algún tiempo. Primero por el número de ataques nuevos que realizan, segundo porque es sabido que eludir la sandbox de Chrome siempre ha sido un reto técnico.

Sin embargo ahora les renta más puesto que Edge usa Chromium y puede que algunos fallos puedan compartirse. Seis de estos fallos se encontraban en el motor V8 de JavaScript.

Webkit (Safari)

El primer año completo que Apple reporta 0days como tal en Webkit. Y son 7, por lo que no se puede establecer una tendencia. Desde luego, muchos en comparación con su cuota de mercado, pero ya sabemos que es un target jugoso en teléfonos iPhone sobre todo. De nuevo, 4 de ellos en el motor JavaScript.

Internet Explorer

Sí, todavía importa, dada lo incrustado en el sistema y como consecuencia de que aún es el motor HTML de Office. Además siempre se encuentran 3 o 4 0days de forma sostenida desde 2015.

Windows

10 0days. Lo curioso es que hasta ahora, la inmensa mayoría atacaban al win32k para elevar privilegios. Hasta el 75% de todos los 0days en años anteriores.

En 2021 es apenas el 20% los que atacan este driver. ¿Por qué? Porque esos ataques iban dirigidos a versiones anteriores a Windows 10. Con su desaparición, este módulo se vuelve más complejo de explotar. Aunque no lo parezca, Windows 10 está más blindado en este aspecto.

iOS/MacOS

Siempre hermético, este 2021 ha sido el primer año en el que Apple ha reportado 0days como tal en su sistema operativo. Y han sido 5 y de ellos, uno de ellos (el primero) en MacOS (hasta ahora todos en iOS).

De nuevo, iOS es un objetivo muy interesante para los atacantes en altas esferas geopolíticas. Pegasus es una muestra de ello.

La seguridad de Windows 11 mejora y se apunta al Zero Trust

Android

Hemos pasado de un solo 0day en 2019, a cero en 2020 y a 7 en 2021. Y de estas 7, 5 fallos en el driver GPU.

Dado que los sistemas operativos Android están muy fragmentados, realizar un exploit funcional para la mayoría de sus sabores es difícil. Sin embargo, un fallo en el driver GPU permite al atacante necesitar solo dos exploits. Uno para Qualcomm Adreno o uno para la GPU ARM Mali.

Curioso como no solo en Android, sino en el resto, lo más valorado para atacantes son las elevaciones de privilegios. ¿Por qué? Porque hacer que el usuario ejecute es relativamente fácil gracias a la ingeniería social.

Exchange Server

El gran protagonista de 2021. La primera vez que aparece desde 2014 y lo hace con 5. También es cierto que 4 de ellas formaban parte de una misma operación o campaña relacionadas con ProxyLogon.

Conclusiones

Nunca se sabrá qué parte no se conoce o qué porción representan esos 58 del total de 0days que están usando los atacantes. Al menos, este año es el primero en el que Apple se compromete a etiquetar sus vulnerabilidad como conocidas in-the-wild tanto para Webkit como para iOS y MacOS.

La mayoría de esos 58 0days siguen prácticas muy similares a las de siempre: se basan en exploits y vulnerabilidades ya conocidas para desarrollar nuevos y exploits derivados. Solo dos constituían una novedad sus técnicas y sofisticación. Y esto es relevante. Porque siempre que se usen métodos, técnicas o procedimientos conocidos, en teoría es más fácil detectarlos de forma más sencilla por “esperables”. Aquí debería mejorar la industria.

Otra conclusión es que estos números nos muestran algo solo parcial, cuyo mapa completo no conocemos. Son solo las vulnerabilidades declaradas como 0days detectadas por los fabricantes. Habrá más sin duda, pero no sabemos cuántas. La llamada de Google a que todos los fabricantes reporten sus 0days como tales es de gran ayuda para analizar la propia industria.