O volume de vulnerabilidades do tipo zero-day detectadas pelo Google teve um aumento superior a 50% de 2022 para 2023, principalmente devido a falhas em componentes de terceiros.
A gigante da tecnologia divulgou os resultados na sua revisão anual de 2023, intitulada “Estamos todos juntos nisso”, que reúne as descobertas de seu Grupo de Análise de Ameaças (TAG, na sigla em inglês) com as equipes de pesquisa da Mandiant.
Os pesquisadores encontraram um total de 97 zero-days em 2023, um número um pouco menor do que o recorde de 106 identificados em 2021.
O relatório indica que fornecedores de plataformas para o usuário final, como Apple, Google e Microsoft, fizeram “investimentos notáveis” para reduzir o número de vulnerabilidades zero-day exploráveis, tornando alguns tipos “praticamente inexistentes” atualmente.
Contudo, essa realidade não se estende às tecnologias voltadas para o setor empresarial, onde o Google notou um aumento anual de 64% em zero-days e um crescimento contínuo no número de fornecedores alvo desde pelo menos 2019.
As equipes do TAG/Mandiant relataram ter constatado uma concentração dos operadores de ameaças em softwares e dispositivos de segurança no último ano.
“Do lado empresarial, observamos uma maior diversidade de fornecedores e produtos sendo alvo, além de um aumento na exploração de tecnologias específicas para o segmento”, afirma o relatório.
“Ao longo dos anos, aprendemos que quanto mais rapidamente identificarmos e corrigirmos os bugs, menor será o tempo de vida da exploração e mais caro se tornará para os invasores manterem suas operações.
Agora, como indústria, precisamos aprender a usar esses ensinamentos e aplicá-los ao ecossistema mais amplo de fornecedores que estão sendo atacados.”
O relatório também aponta outras tendências, como:
• Uma mudança no foco dos atacantes para componentes e bibliotecas de terceiros, uma vez que “a exploração desse tipo de vulnerabilidade pode ser estendida para afetar múltiplos produtos”;
• Os fornecedores de spyware comercial foram responsáveis por 75% dos zero-days direcionados a produtos do Google e dispositivos Android em 2023, e por 60% dos zero-days em navegadores e dispositivos móveis de forma geral;
• A China liderou em volume de explorações de zero-days realizadas por hackers ligados ao governo mais do que qualquer outro país em 2023, com um total de 12;
• Operadores de ameaças motivados financeiramente foram responsáveis pela exploração de dez zero-days, um número menor do que o observado em 2022.
Para acessar o relatório completo “Estamos todos juntos nisso”, visite o blog do Google clicando aqui.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...