Sécurité : les failles 0-day se suivent… et se ressemblent

Qu’est-ce qui ressemble à une faille 0-day ? Une autre faille 0-day, surtout si la première n’a pas été bien corrigée. C’est le sens d’une présentation qu’une membre de l’équipe Google Project Zero a faite à l’occasion de la conférence USENIX Enigma 2021.

L’intéressée recense vingt-quatre failles de ce type patchées en 2020. Elle affirme que six d’entre elles dérivaient de vulnérabilités connues… toutes censées avoir été colmatées. Or, il suffisait parfois de modifier une ou deux lignes d’un code malveillant pour le réactiver.

Illustration avec la faille CVE-2020-0674, logée dans le moteur de script d’Internet Explorer. Elle arrive en bout d’une chaîne qui comprend quatre autres failles remontant jusqu’à 2018. Il semble que le même acteur les ait toutes exploitées. En s’appuyant, tout du long, sur diverses occurrences d’un bug : la mauvaise gestion de variables par le ramasse-miettes.

On retrouve de telles chaînes avec les cinq autres failles en question. Dans certains cas, le levier d’activation est le même, mais se trouve à un autre endroit du programme vulnérable. Dans d’autres, c’est simplement le contenu d’une entrée qui change. La plus ancienne des « failles mères » date de 2014.

Dans ce contexte, Project Zero invite éditeurs et chercheurs à élargir leur vision. Les premiers, en portant leur analyse des failles au-delà des PoC qu’on leur présente. Les seconds, en explorant le champ des attaques associées aux bugs qu’ils découvrent. Et cela implique un réflexe d’analyse des variantes.

Illustration principale © GlebStock – shutterstock.com