Rueil-Malmaison, le 09 août 2023 - Trend Micro Incorporated (TYO: 4704; TSE: 4704), leader mondial de la cybersécurité, a révélé les résultats du programme Zero Day Initiative dans lequel il est engagé depuis 2005. La Zero Day Initiative est le plus grand plus grand programme indépendant de bug bounty de fournisseur au monde, à l’origine de près de 64 % des failles 0-day divulguées en 2021.

« Notre investissement annuel de plusieurs millions de dollars dans la recherche et l'achat de vulnérabilités 0-day permet à nos clients ainsi qu’au marché d'économiser des milliards de dollars », a déclaré Kevin Simzer, COO – Trend Micro. « Nous observons une tendance inquiétante dans les entreprises : elles manquent cruellement de transparence en matière de divulgation/publication des vulnérabilités et d'application de correctifs par les fournisseurs. Une situation qui constitue une menace pour la sécurité du monde numérique. »

Aujourd'hui, Trend Micro appelle à la fin des correctifs silencieux ; une pratique qui consiste à ralentir ou à diluer la divulgation publique et la documentation des vulnérabilités comme des correctifs. Il s'agit d'un obstacle majeur dans la lutte contre la cybercriminalité, mais cette pratique est trop courante chez les principaux fournisseurs et prestataires de cloud.

Lors d'une session au Black Hat USA 2023, les représentants de Trend Micro Research ont révélé que les correctifs silencieux sont devenus particulièrement courants chez les fournisseurs de cloud. Les entreprises s'abstiennent plus fréquemment d'attribuer un identifiant CVE (Common Vulnerabilities and Exposures) pour la documentation publique et émettent plutôt des correctifs en privé.

L'absence de transparence ou de numéros de version pour les services cloud entrave l'évaluation des risques et prive les acteurs du marché d'informations précieuses pour améliorer la sécurité globale de l'écosystème.

Lors de la conférence Black Hat de l'année dernière, Trend Micro a alerté sur le nombre croissant de correctifs incomplets ou défectueux diffusés par les éditeurs et la réticence croissante des fournisseurs de sécurité à mettre à disposition de leurs clients des informations fiables sur les correctifs, rédigées dans un langage simple. Une posture qui empêche les protecteurs/défenseurs du réseau d'évaluer avec précision leur exposition au risque.

Le fossé se creuse, certaines entreprises se privant complètement de l'application de correctifs, laissant leurs clients et leurs secteurs exposés à des risques inutiles et croissants.

Il est urgent d’intervenir pour donner la priorité aux correctifs, traiter les vulnérabilités et encourager la collaboration entre les chercheurs, les acteurs de la cybersécurité et les fournisseurs de services cloud afin de renforcer les capacités de protection de chacun tout en protégeant les utilisateurs contre de potentiels risques.

Trend Micro s'engage à corriger les vulnérabilités de manière transparente et entend améliorer les mesures de sécurité du marché grâce à son engagement au sein du programme Zero Day Initiative. Dans ce cadre, l’entité a publié lors de Black Hat USA 2023 des avis sur plusieurs vulnérabilités de type "zero-day", notamment :

ZDI-CAN-20784 Github (CVSS 9.9)

• Cette vulnérabilité permet à des hackers d'accroitre leurs privilèges sur les installations affectées à Microsoft GitHub. L'authentification est nécessaire pour exploiter cette vulnérabilité
• La faille existe dans la configuration de Dev-Containers. L'application n'applique pas le drapeau privilégié dans la configuration d'un conteneur de développement. Un hacker peut exploiter cette vulnérabilité pour élever ses privilèges et exécuter du code dans le contexte de l'hyperviseur.

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

• Cette vulnérabilité permet aux acteurs de la menace à distance de divulguer des informations sensibles sur Microsoft Azure. Un assaillant doit d'abord obtenir la capacité d'exécuter du code à haut privilège sur l'environnement cible afin d'exploiter cette vulnérabilité
• La faille se situe au niveau de la gestion des certificats. Le problème résulte de l'exposition d'une ressource à la mauvaise sphère de contrôle. Un attaquant peut tirer parti de cette vulnérabilité pour divulguer des informations d'identification stockées, pouvant engendrer une plus grande compromission.

La Zero Day Initiative a ouvert la voie au marché des vulnérabilités en mettant l'accent sur les risques liés à l’achat de telles informations par les acteurs de la menace ; ainsi qu’en soutenant l'achat légitime du fruit de leurs recherches et leur divulgation aux fournisseurs concernés afin qu'ils les corrigent avant que les informations ne soient rendues publiques et/ou utilisées à des fins malveillantes.

• Pour en savoir plus sur les activités de Trend Micro à Black Hat USA 2023, visitez le site : https://newsroom.trendmicro.com/2023-07-26-Trend-Micro-Deconstructs-Top-Cyberthreats-at-BlackHat-2023.
• Pour obtenir la liste complète des avis publiés par la ZDI de Trend Micro, rendez-vous sur : https://www.zerodayinitiative.com/advisories/published/