Qu’est-ce qui ressemble à une faille 0-day ? Une autre faille 0-day, surtout si la première n’a pas été bien corrigée. C’est le sens d’une présentation qu’une membre de l’équipe Google Project Zero a faite à l’occasion de la conférence USENIX Enigma 2021.
L’intéressée recense vingt-quatre failles de ce type patchées en 2020. Elle affirme que six d’entre elles dérivaient de vulnérabilités connues… toutes censées avoir été colmatées. Or, il suffisait parfois de modifier une ou deux lignes d’un code malveillant pour le réactiver.
Illustration avec la faille CVE-2020-0674, logée dans le moteur de script d’Internet Explorer. Elle arrive en bout d’une chaîne qui comprend quatre autres failles remontant jusqu’à 2018. Il semble que le même acteur les ait toutes exploitées. En s’appuyant, tout du long, sur diverses occurrences d’un bug : la mauvaise gestion de variables par le ramasse-miettes.
On retrouve de telles chaînes avec les cinq autres failles en question. Dans certains cas, le levier d’activation est le même, mais se trouve à un autre endroit du programme vulnérable. Dans d’autres, c’est simplement le contenu d’une entrée qui change. La plus ancienne des « failles mères » date de 2014.
Dans ce contexte, Project Zero invite éditeurs et chercheurs à élargir leur vision. Les premiers, en portant leur analyse des failles au-delà des PoC qu’on leur présente. Les seconds, en explorant le champ des attaques associées aux bugs qu’ils découvrent. Et cela implique un réflexe d’analyse des variantes.
Illustration principale © GlebStock – shutterstock.com
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…