Qu’est-ce qui ressemble à une faille 0-day ? Une autre faille 0-day, surtout si la première n’a pas été bien corrigée. C’est le sens d’une présentation qu’une membre de l’équipe Google Project Zero a faite à l’occasion de la conférence USENIX Enigma 2021.
L’intéressée recense vingt-quatre failles de ce type patchées en 2020. Elle affirme que six d’entre elles dérivaient de vulnérabilités connues… toutes censées avoir été colmatées. Or, il suffisait parfois de modifier une ou deux lignes d’un code malveillant pour le réactiver.
Illustration avec la faille CVE-2020-0674, logée dans le moteur de script d’Internet Explorer. Elle arrive en bout d’une chaîne qui comprend quatre autres failles remontant jusqu’à 2018. Il semble que le même acteur les ait toutes exploitées. En s’appuyant, tout du long, sur diverses occurrences d’un bug : la mauvaise gestion de variables par le ramasse-miettes.
On retrouve de telles chaînes avec les cinq autres failles en question. Dans certains cas, le levier d’activation est le même, mais se trouve à un autre endroit du programme vulnérable. Dans d’autres, c’est simplement le contenu d’une entrée qui change. La plus ancienne des « failles mères » date de 2014.
Dans ce contexte, Project Zero invite éditeurs et chercheurs à élargir leur vision. Les premiers, en portant leur analyse des failles au-delà des PoC qu’on leur présente. Les seconds, en explorant le champ des attaques associées aux bugs qu’ils découvrent. Et cela implique un réflexe d’analyse des variantes.
Illustration principale © GlebStock – shutterstock.com
La Fondation Linux apporte son soutien à Valkey, un fork de Redis qui vient d'émerger…
Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…
Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…