Un nuovo rapporto di Mandiant fa luce sullo stato di sfruttamento del giorno zero 2022.
In 2022, 55 zero-day le vulnerabilità sono state sfruttate in natura, con la maggior parte dei difetti riscontrati nel software di Microsoft, Google, e Apple. Questo numero è in calo rispetto al 81 zero-day armati l'anno prima, ma indica ancora un notevole aumento degli attori delle minacce che utilizzano problemi di sicurezza sconosciuti a proprio vantaggio.
Secondo la società di informazioni sulle minacce Mandiant, i prodotti più sfruttati erano i sistemi operativi desktop (19), browser web (11), Prodotti IT e per la gestione della rete (10), e sistemi operativi mobili (sei). Tredici del 55 i bug zero-day sono stati utilizzati dai gruppi di spionaggio, e altri quattro sono stati utilizzati da autori di minacce motivate finanziariamente per attività legate al ransomware.
Tre degli zero-day erano collegati a fornitori commerciali di spyware. I gruppi sponsorizzati dallo stato attribuiti dalla Cina sono stati identificati come i più attivi, avendo approfittato di sette giorni zero (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, e CVE-2022-41328).
Follina Giorno Zero: Ampiamente sfruttato in 2022
Mandiant ha osservato che numerose campagne hanno utilizzato una vulnerabilità in Microsoft Diagnostics Tool (detta anche Follina) per ottenere l'accesso iniziale. La vulnerabilità è stata scoperta dal team di ricerca di nao_sec, in seguito alla scoperta di un documento Word caricato su VirusTotal da un indirizzo IP bielorusso. I ricercatori hanno pubblicato una serie di tweet che descrivono in dettaglio la loro scoperta. Il Follina (CVE-2022-30190) vulnerabilità sfrutta il collegamento esterno di Microsoft Word per caricare l'HTML e quindi utilizza lo schema 'ms-msdt' per eseguire il codice PowerShell.
In 2022, Follina è stata armata da una varietà di gruppi di spionaggio legati alla Cina. Ciò suggerisce che l'exploit zero-day sia stato probabilmente distribuito a vari gruppi di spionaggio cinesi da “un quartiermastro digitale”, indicando la presenza di un ente di coordinamento centralizzato che condivide le risorse di sviluppo e logistiche.
Gli attori delle minacce della Corea del Nord e della Russia sono stati collegati all'utilizzo di due vulnerabilità zero-day ciascuna. Questi includono CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, e CVE-2023-23397. Questa rivelazione arriva in un momento in cui gli attori delle minacce stanno diventando più abili nel trasformare le vulnerabilità appena rivelate in exploit efficaci per attaccare una vasta gamma di obiettivi in tutto il mondo, Mandiant ha sottolineato.
Sfruttamento zero-day in 2022: la conclusione
Fuori da 53 vulnerabilità zero-day identificate in 2022, la maggior parte è stata utilizzata per ottenere entrambi esecuzione di codice remoto o privilegi elevati, entrambi in linea con gli obiettivi primari degli attori delle minacce. Mentre le vulnerabilità della divulgazione di informazioni possono attirare l'attenzione a causa del loro potenziale di portare all'uso improprio dei dati di clienti e utenti, l'entità del danno che può essere causato da queste vulnerabilità è generalmente limitata. D'altronde, ottenere privilegi elevati o eseguire codice può far sì che l'attaccante sia in grado di spostarsi lateralmente attraverso la rete, portando a ulteriori danni oltre il punto di accesso iniziale, la relazione ha concluso.