Un nuevo informe de Mandiant arroja luz sobre el estado de la explotación de día cero en todo 2022.
En 2022, 55 Día cero vulnerabilidades fueron explotadas en la naturaleza, con la mayoría de las fallas que se encuentran en el software de Microsoft, Google, y Apple. Este número está por debajo del 81 zero-days armado el año anterior, pero aún indica un aumento notable en los actores de amenazas que utilizan problemas de seguridad desconocidos para su beneficio.
Según la firma de inteligencia de amenazas Mandiant, los productos más explotados fueron los sistemas operativos de escritorio (19), navegadores web (11), Productos de administración de redes y TI (10), y sistemas operativos móviles (seis). Trece de los 55 Los errores de día cero fueron utilizados por grupos de espionaje., y otros cuatro fueron utilizados por actores de amenazas motivados financieramente para actividades relacionadas con ransomware.
Tres de los días cero estaban vinculados a proveedores comerciales de spyware.. Los grupos patrocinados por el estado atribuidos a China han sido identificados como los más activos, haber aprovechado siete días cero (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, y CVE-2022-41328).
Día cero de Follina: Ampliamente explotado en 2022
Mandiant ha observado que numerosas campañas han utilizado una vulnerabilidad en la herramienta de diagnóstico de Microsoft (también conocida como Follina) para obtener acceso inicial. La vulnerabilidad fue descubierta por el equipo de investigación de nao_sec., tras el descubrimiento de un documento de Word cargado en VirusTotal desde una dirección IP bielorrusa. Los investigadores publicaron una serie de tuits que detallan su descubrimiento.. El Follina (CVE-2022-30190) vulnerabilidad aprovecha el enlace externo de Microsoft Word para cargar el HTML y luego usa el esquema 'ms-msdt' para ejecutar el código de PowerShell.
En 2022, Follina fue armada por una variedad de grupos de espionaje relacionados con China.. Esto sugiere que el exploit de día cero probablemente fue distribuido a varios grupos de espionaje chinos por “un intendente digital”, indicando la presencia de una entidad coordinadora centralizada que comparte recursos de desarrollo y logística.
Los actores de amenazas de Corea del Norte y Rusia se han conectado a la utilización de dos vulnerabilidades de día cero cada uno.. Estos incluyen CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, y CVE-2023-23397. Esta revelación llega en un momento en que los actores de amenazas se están volviendo más hábiles para transformar las vulnerabilidades recientemente reveladas en exploits efectivos para atacar una amplia gama de objetivos en todo el mundo., Mandiant señaló.
Explotación de día cero en 2022: la conclusión
Fuera de 53 vulnerabilidades de día cero identificadas en 2022, la mayoría fueron utilizados para ganar ejecución remota de código o privilegios elevados, ambos se alinean con los objetivos principales de los actores de amenazas. Si bien las vulnerabilidades de divulgación de información pueden llamar la atención debido a su potencial para conducir al uso indebido de datos de clientes y usuarios, el alcance del daño que pueden causar estas vulnerabilidades suele ser limitado. Por otra parte, obtener privilegios elevados o ejecutar código puede resultar en que el atacante pueda moverse lateralmente a través de la red, lo que conduce a más daños más allá del punto de acceso inicial, el informe concluyó.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: