Zero-day: Corretta la prima vulnerabilità Chrome del 2024
Progresso tecnologico, evoluzione dei programmi, ma anche crescita costante delle minacce.
Tra le attività di routine e preoccupazioni di qualsiasi responsabile alla sicurezza informatica svetta il ragionato e costante aggiornamento delle applicazioni, che diventa ancora più urgente in caso vengano segnalate gravi falle in programmi di uso quotidiano:
Una vulnerabilità in Google Chrome, rientra perfettamente in questo perimetro
Qui le patch notes diffuse il 16 gennaio per Chrome Desktop, inerente sistemi Windows, MAC e Linux:
La correzione è giunta abbastanza rapidamente, in meno di una settimana dopo che la segnalazione anonima giunta a Google della falla.
La problematica è stata identificata come CVE-2024-0519, una vulnerabilità che potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario e causare crash del programma.
Google ha evitato di fornire ulteriori dettagli sulla natura degli attacchi e sui potenziali autori nel tentativo di prevenire ulteriori sfruttamenti della vulnerabilità zero-day, come già successo per quelle del 2023.
Come ben sappiamo nonostante campagne di bug-hunting tenute dalle compagnie e l’impegno ad una divulgazione etica da parte di ricercatori leciti presso vendor ed enti preposti, le Zero-day emergono generalmente dopo la scoperta e lo sfruttamento da parte di gang criminali.
Il commercio delle vulnerabilità zero-day è un fenomeno interessante e complesso che si pone alla fine del ciclo di scoperta e sfruttamento delle debolezze.
Il concetto di vulnerabilità zero-day si svela come un intricato fenomeno che alimenta un mercato nero in cui le informazioni relative a queste falle sono scambiate come preziose merci.
Le vulnerabilità zero-day, che sono sconosciute agli sviluppatori o non ancora corrette, danno vita a “exploit” che vengono prima sfruttati attivamente da cerchie più o meno ristrette di alti specialisti del crimine, per poi venire commercializzati nei mercati virtuali del dark web , generalmente una volta che l’effetto di esclusività si è ridotto.
Trovare sugli scaffali di questi supermarket del crimine delle vere e proprie Zero-day, data la complessità e rarità della sua natura è un evento piuttosto remoto, generalmente la commercializzazione avviene in prossimità o nel momento in cui queste passino al livello Half-day, ossia vulnerabilità di cui i produttori abbiano da poco conosciuto l’esistenza e proceduto a patchare.
In quest’ottica il volano mediatico fa pubblicità e permette di vendere massivamente le modalità di attacco alle gang meno esperte, sfruttando l’opportunità data dalla lentezza con cui sistemi pubblici e privati vengono aggiornati per aggredire bersagli nuovi o in spending da tempo.
Patchare e ridurre la superficie degli attacchi è quindi sempre anche una gara contro il tempo.
