Google tikt softwarebedrijven op de vingers. Slechte en onvolledige patches waren volgens beveiligingsonderzoekers van het bedrijf verantwoordelijk voor de helft van de zero days het afgelopen halfjaar.
Het afgelopen halfjaar telde Google Project Zero 18 zero day-bugs. Project Zero is een cybersecurity-divisie van Google die zich met zero days bezig houdt. De beveiligingsonderzoekers van Project Zero volgen enkel bugs in belangrijke en veelgebruikte software zoals Microsoft Windows, Apple iOS en Google Chromium.
Hergebruik
Volgens Project Zero is minstens de helft van de bugs de afgelopen zes maanden het gevolg van slechte patches van softwareboeren. “Minstens negen 0-days zijn varianten van eerder gepatchte kwetsbaarheden”, zegt Maddie Stone van Project Zero in een blogpost. “De helft van de 0-days die we in de eerste zes maanden van 2022 hebben gezien, konden voorkomen worden met uitgebreidere patch- en regressietests.”
Stone gaat nog verder: “Vier 0-days van 2022 zijn varianten van bugs die dateren uit 2021. Binnen amper een jaar na de originele patch van een lek kwamen hackers al met een variant van de originele bug.”
Te voorkomen
De bevindingen schetsen volgens Stone een heel ander beeld van zero days dan we gewend zijn. “Wanneer mensen aan 0-day exploits denken, denken ze vaak dat die exploits zo technologisch geavanceerd zijn dat er geen hoop bestaat om ze te vinden of te voorkomen. Onze data schetst een ander beeld.”
Google Project Zero wijst iedereen met de vinger, inclusief Google zelf. Veel patches zijn pleisters op de wonde waarbij de functionaliteit van een exploit wordt aangepakt, maar de hoofdoorzaak van de bug blijft bestaan. Dat geeft hackers de mogelijkheid om een andere weg te zoeken om een bepaalde bug uit te buiten.
Moeilijke afweging
Stone geeft evenwel toe dat grondig patchen eenvoudiger gezegd is dan gedaan. Bij de ontdekking van een 0-day is het immers doorgaans alle hens aan dek. Een patch moet grondig zijn, maar vooral ook snel zodat aanvallers het lek niet massaal kunnen uitbuiten. Dat bepaalde bugs amper een jaar na hun patch opnieuw via een andere weg misbruikt worden, is natuurlijk wel pijnlijk. Dat toont dat softwaregiganten na het aanbrengen van de pleister niet meer naar de wonde hebben omgekeken.