2021 ano do Zero-Day, entenda a análise das vulnerabilidades

"#aiedonline em youtube.com/c/aiedonline"

Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

Seja membro: https://youtu.be/fEdz5zX2-4M
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

Any Bonny (Português): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Any Bonny (English): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg

2021 ano do Zero-Day

INSTRUÇÕES
CONTEÚDO
Todo o conteúdo obtido é de ambiente controlado, informações práticas são de laboratórios com ambiente privado.

MINHA OPNIÃO PODE NÃO AGRADAR.
DIREITO SOBRE MARCAS
Toda tecnologia citada aqui será citada como referência para estudo e devidos direitos serão respeitados.

2

Olá!
Não Importa
Vou falar sobre: 2021 foi o ano do zero-day

Para entrar em contato: TELEGRAM
3

1
Google Zero-Day Project
Um projeto responsável
4

Para nós Hackers que caminhamos nas trevas, isso é ruim.
5

Google Project Zero
Projeto Zero é uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades Zero-day;

Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado ou se 90 dias se passaram sem um patch sendo liberado.

6

Google Project Zero
7

Google Project Zero
O Google Project Zero chamou 2021 de "ano recorde para zero-day na natureza", pois 58 vulnerabilidades de segurança foram detectadas e divulgadas durante o ano.

O desenvolvimento marca mais de um salto de duas vezes em relação ao máximo anterior (25 em 2020), quando 28 explorações de Zero-Day foram rastreadas em 2015.

8

Aumento da detecção e divulgação dessas vulnerabilidades, e diminuição no uso de explorações
9

Google Project Zero
10

Google Project Zero
Os invasores estão tendo sucesso usando os mesmos padrões de bugs e técnicas de exploração e perseguindo as mesmas superfícies de ataque.

Com apenas duas delas marcadamente diferentes pela sofisticação técnica e uso de bugs lógicos para escapar da sandbox.

11

Google Project Zero
A conclusão mais impressionante é a profundidade da superfície de ataque alcançável do que esperamos ser uma caixa de areia bastante restrita.
12

Google Project Zero
13

Google Project Zero
Chromium (14);
seguido pelo Windows (10);
Android (7);
WebKit/Safari (7);
Microsoft Exchange Server (5);
iOS/macOS (5);
Internet Explorer (4).
14

Google Project Zero
Dos 58 zero-day observados em 2021, 39 foram vulnerabilidades de corrupção de memória:
17 bugs decorrentes do uso após a liberação;
6 leitura e gravação fora dos limites
4 falhas de estouro de buffer;
4 estouro de inteiro.
15

Google Project Zero
Também vale a pena notar que 13 dos 14 Chromium 0-days eram vulnerabilidades de corrupção de memória;

A maioria das quais, por sua vez, eram vulnerabilidades de uso após a liberação.
16

Google Project Zero
17

Google Project Zero
Além disso, o Google Project Zero apontou a falta de exemplos públicos destacando a exploração selvagem de falhas de Zero-day em serviços de mensagens como WhatsApp, Signal e Telegram, bem como outros componentes, incluindo núcleos de CPU, chips Wi-Fi, e a nuvem.
18

Obrigado!
Tem dúvdias?
Entre no Telegram que está na descrição do vídeo
19