Google: Veel 'nieuwe' zero-day-lekken varianten op oudere zero-days

Het creëren van deze tweedegeneratie-exploits verklaart Stone uit het feit dat veel kwetsbaarheden in software niet volledig gepatcht worden. Er is weliswaar een patch beschikbaar voor het ontdekte lek in de software - waardoor de eerste generatie exploits niet meer werkt - maar het probleem is niet volledig weggewerkt. Dat biedt ruimte voor kwaadwillenden om een variant van de exploit te ontwerpen die om de patch heen kan.

Stone noemt het voorbeeld van de Windows win32k en de Chromium property access interceptor bugs. Daar werd de aanvalsroute van de exploits geblokkeerd maar de kern van het probleem (root cause) bleef bestaan. Dus bleken de aanvallers een nieuwe route te kunnen vinden. Ook komt het voor dat een patch degenereert, zegt ze en noemt WebKit en Windows PetitPotam als voorbeelden, overigens zonder uit te leggen hoe dat verval in zijn werk gaat. In ieder geval konden aanvallers naar verloop van tijd weer dezelfde kwetsbaarheid aanvallen.

Samenwerken is sleutel tegen misbruik

Het ontdekken van een exploit is een 'hoera-momentje' voor de beveiligingsonderzoekers en een tegenslag voor de aanvallers. De exploit stelt de beveiligers in staat nauwkeurig na te gaan hoe de aanvallers te werk gaan en tegenmaatregelen te bedenken voor alle mogelijke alternatieven. "Het doel is te bereiken dat de aanvallers steeds van voor af aan moeten beginnen", zegt Stone. "Dat kost veel tijd."

In de blog van Project Zero somt ze een aantal acties op waarmee de organisatie anderen helpt om bugs goed en volledig te verhelpen. Ze hoopt dat andere onafhankelijke beveiligers meehelpen in het uitvoeren van de scans en analyses. "Transparantie door deze analyses te delen helpt de industrie als geheel."