Un nouveau rapport de Mandiant met en lumière l'état de l'exploitation du jour zéro à travers 2022.
Dans 2022, 55 zero-day les vulnérabilités ont été exploitées à l'état sauvage, avec la majorité des failles trouvées dans les logiciels de Microsoft, Google, et Apple. Ce nombre est en baisse par rapport au 81 les zero-days militarisés l'année précédente, mais indique toujours une augmentation notable du nombre d'acteurs malveillants utilisant des problèmes de sécurité inconnus à leur profit.
Selon la société de renseignements sur les menaces Mandiant, les produits les plus exploités étaient les systèmes d'exploitation de bureau (19), les navigateurs web (11), Produits informatiques et de gestion de réseau (10), et systèmes d'exploitation mobiles (six). Treize des 55 des bogues du jour zéro ont été utilisés par des groupes d'espionnage, et quatre autres ont été utilisés par des pirates à motivation financière pour des activités liées aux rançongiciels.
Trois des zero-days étaient liés à des fournisseurs de logiciels espions commerciaux. Les groupes parrainés par l'État attribués à la Chine ont été identifiés comme les plus actifs, avoir profité de sept jours zéro (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, et CVE-2022-41328).
Follina Zero-Day: Largement exploité en 2022
Mandiant a observé que de nombreuses campagnes ont utilisé une vulnérabilité dans Microsoft Diagnostics Tool (également connu sous le nom de Follina) pour obtenir un premier accès. La vulnérabilité a été découverte par l'équipe de recherche nao_sec, suite à la découverte d'un document Word téléchargé sur VirusTotal à partir d'une adresse IP biélorusse. Les chercheurs ont publié une série de tweets détaillant leur découverte. La Follina (CVE-2022-30190) vulnérabilité exploite le lien externe de Microsoft Word pour charger le code HTML, puis utilise le schéma "ms-msdt" pour exécuter le code PowerShell.
Dans 2022, Follina a été armée par une variété de groupes d'espionnage liés à la Chine. Cela suggère que l'exploit du jour zéro a probablement été distribué à divers groupes d'espionnage chinois par “un quartier-maître numérique”, indiquant la présence d'une entité de coordination centralisée qui partage les ressources de développement et de logistique.
Les acteurs de la menace de Corée du Nord et de Russie ont été connectés à l'utilisation de deux vulnérabilités zero-day chacun. Ceux-ci incluent CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, et CVE-2023-23397. Cette révélation survient à un moment où les acteurs de la menace deviennent plus habiles à transformer les vulnérabilités nouvellement révélées en exploits efficaces pour attaquer un large éventail de cibles à travers le monde., Mandiant a souligné.
Exploitation Zero-Day dans 2022: la conclusion
Hors de 53 vulnérabilités zero-day identifiées dans 2022, la plupart ont été utilisés pour gagner soit exécution de code distant ou privilèges élevés, qui correspondent tous deux aux objectifs principaux des acteurs de la menace. Alors que les vulnérabilités de divulgation d'informations peuvent attirer l'attention en raison de leur potentiel à conduire à une utilisation abusive des données des clients et des utilisateurs, l'ampleur des dommages pouvant être causés par ces vulnérabilités est généralement limitée. D'autre part, l'obtention de privilèges élevés ou l'exécution de code peut permettre à l'attaquant de se déplacer latéralement sur le réseau, entraînant d'autres dommages au-delà du point d'accès initial, le rapport a conclu.