En ny rapport fra Mandiant kaster lys over tilstanden af nul-dages udnyttelse hele vejen igennem 2022.
I 2022, 55 zero-day sårbarheder blev udnyttet i naturen, hvor størstedelen af fejlene findes i software fra Microsoft, Google, og Apple. Dette tal er lavere end 81 zero-days bevæbnet året før, men indikerer stadig en bemærkelsesværdig stigning i trusselsaktører, der bruger ukendte sikkerhedsproblemer til deres fordel.
Ifølge trusselsefterretningsfirmaet Mandiant, de mest udnyttede produkter var desktop-operativsystemer (19), webbrowsere (11), IT- og netværksstyringsprodukter (10), og mobile operativsystemer (seks). Tretten af de 55 Zero-day bugs blev brugt af spionagegrupper, og fire andre blev brugt af økonomisk motiverede trusselsaktører til ransomware-relaterede aktiviteter.
Tre af nul-dagene var knyttet til kommercielle spyware-leverandører. Kina-tilskrevet statssponsorerede grupper er blevet identificeret som de mest aktive, at have udnyttet syv nul-dage (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, og CVE-2022-41328).
Follina Zero-Day: Stort set udnyttet i 2022
Mandiant har observeret, at adskillige kampagner har brugt en sårbarhed i Microsoft Diagnostics Tool (også kendt som Follina) for at få første adgang. Sårbarheden blev afdækket af nao_sec-forskerholdet, efter opdagelsen af et Word-dokument, der er uploadet til VirusTotal fra en hviderussisk IP-adresse. Forskerne udsendte en række tweets, der beskriver deres opdagelse. Den Follina (CVE-2022-30190) sårbarhed udnytter Microsoft Words eksterne link til at indlæse HTML og bruger derefter 'ms-msdt'-skemaet til at udføre PowerShell-kode.
I 2022, Follina blev bevæbnet af en række Kina-relaterede spionageklynger. Dette tyder på, at nul-dages udnyttelsen sandsynligvis blev distribueret til forskellige kinesiske spionagegrupper af “en digital kvartermester”, indikerer tilstedeværelsen af en centraliseret koordinerende enhed, der deler udviklings- og logistikressourcer.
Trusselaktører fra Nordkorea og Rusland er blevet forbundet med brugen af to nul-dages sårbarheder hver. Disse omfatter CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, og CVE-2023-23397. Denne afsløring kommer på et tidspunkt, hvor trusselsaktører bliver dygtigere til at omdanne nyligt afslørede sårbarheder til effektive udnyttelser til at angribe en lang række mål over hele kloden, påpegede Mandiant.
Zero-Day-udnyttelse i 2022: den Konklusion
Ud af det 53 Zero-day sårbarheder identificeret i 2022, de fleste blev brugt til at vinde enten fjernkørsel af programkode eller forhøjede privilegier, som begge stemmer overens med trusselsaktørernes primære mål. Mens sårbarheder i offentliggørelse af oplysninger kan være opsigtsvækkende på grund af deres potentiale til at føre til misbrug af kunde- og brugerdata, omfanget af skader, der kan forårsages af disse sårbarheder, er normalt begrænset. På den anden side, opnåelse af forhøjede privilegier eller eksekvering af kode kan resultere i, at angriberen kan bevæge sig sideværts gennem netværket, fører til yderligere skade ud over det oprindelige adgangspunkt, konkluderede rapporten.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: