Ein neuer Bericht von Mandiant wirft ein Licht auf den Stand der Zero-Day-Ausbeutung 2022.
In 2022, 55 Zero-Day Sicherheitslücken wurden in freier Wildbahn ausgenutzt, wobei die Mehrheit der Fehler in Software von Microsoft gefunden wird, Google, und Apple. Diese Zahl ist von der 81 Zero-Days wurde im Jahr zuvor zur Waffe gemacht, weist aber immer noch auf eine bemerkenswerte Zunahme von Bedrohungsakteuren hin, die unbekannte Sicherheitsprobleme zu ihrem Vorteil nutzen.
Laut dem Threat-Intelligence-Unternehmen Mandiant, Die am meisten genutzten Produkte waren Desktop-Betriebssysteme (19), Internetbrowser (11), IT- und Netzwerkmanagement-Produkte (10), und mobile Betriebssysteme (sechs). Dreizehn der 55 Zero-Day-Bugs wurden von Spionagegruppen verwendet, und vier weitere wurden von finanziell motivierten Bedrohungsakteuren für Ransomware-bezogene Aktivitäten verwendet.
Drei der Zero-Days waren mit kommerziellen Spyware-Anbietern verbunden. China zugeschriebene staatlich geförderte Gruppen wurden als die aktivsten identifiziert, sieben Zero-Days ausgenutzt haben (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, und CVE-2022-41328).
Follina Zero-Day: Weitgehend ausgebeutet in 2022
Mandiant hat beobachtet, dass zahlreiche Kampagnen eine Schwachstelle im Microsoft Diagnostics Tool ausgenutzt haben (auch bekannt als Follina) ersten Zugang zu bekommen. Die Schwachstelle wurde vom nao_sec-Forschungsteam entdeckt, nach der Entdeckung eines Word-Dokuments, das von einer belarussischen IP-Adresse auf VirusTotal hochgeladen wurde. Die Forscher veröffentlichten eine Reihe von Tweets, in denen sie ihre Entdeckung detailliert beschrieben. Die Folline (CVE-2022-30190) Verwundbarkeit nutzt den externen Link von Microsoft Word, um den HTML-Code zu laden, und verwendet dann das „ms-msdt“-Schema, um PowerShell-Code auszuführen.
In 2022, Follina wurde von einer Vielzahl von Spionageclustern mit Bezug zu China bewaffnet. Dies deutet darauf hin, dass der Zero-Day-Exploit wahrscheinlich an verschiedene chinesische Spionagegruppen verbreitet wurde “ein digitaler Quartiermeister”, was auf das Vorhandensein einer zentralisierten koordinierenden Einheit hinweist, die Entwicklungs- und Logistikressourcen gemeinsam nutzt.
Bedrohungsakteure aus Nordkorea und Russland wurden mit der Nutzung von jeweils zwei Zero-Day-Schwachstellen in Verbindung gebracht. Dazu gehört CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, und CVE-2023-23397. Diese Offenbarung kommt zu einer Zeit, in der Bedrohungsakteure immer geschickter darin werden, neu aufgedeckte Schwachstellen in effektive Exploits umzuwandeln, um eine Vielzahl von Zielen auf der ganzen Welt anzugreifen, betonte Mandiant.
Zero-Day-Ausbeutung in 2022: das Fazit
Aus dem 53 Zero-Day-Schwachstellen identifiziert in 2022, die meisten wurden verwendet, um entweder zu gewinnen Remotecodeausführung oder erhöhte Privilegien, beide stimmen mit den primären Zielen der Bedrohungsakteure überein. Während die Offenlegung von Informationen aufgrund ihres Potenzials, zum Missbrauch von Kunden- und Benutzerdaten zu führen, Aufmerksamkeit erregen kann, das Schadensausmaß, das durch diese Schwachstellen verursacht werden kann, ist in der Regel begrenzt. Andererseits, Das Erlangen erhöhter Privilegien oder das Ausführen von Code kann dazu führen, dass sich der Angreifer seitlich durch das Netzwerk bewegen kann, was zu weiteren Schäden über den ursprünglichen Zugangspunkt hinaus führt, der Bericht zu dem Schluss.