Een nieuw rapport van Mandiant werpt licht op de staat van zero-day uitbuiting gedurende het hele proces 2022.
In 2022, 55 zero-day kwetsbaarheden werden in het wild uitgebuit, waarbij de meeste fouten worden gevonden in software van Microsoft, Google, en Apple. Dit nummer is gedaald van de 81 zero-day bewapend het jaar ervoor, maar wijst nog steeds op een opmerkelijke toename van bedreigingsactoren die onbekende beveiligingsproblemen gebruiken voor eigen gewin.
Dat meldt dreigingsinformatiebureau Mandiant, de meest uitgebuite producten waren desktopbesturingssystemen (19), webbrowsers (11), IT- en netwerkbeheerproducten (10), en mobiele besturingssystemen (zes). Dertien van de 55 zero-day bugs werden gebruikt door spionagegroepen, en vier andere werden gebruikt door financieel gemotiveerde aanvallers voor ransomware-gerelateerde activiteiten.
Drie van de zero-days waren gekoppeld aan commerciële spywareleveranciers. Door China toegeschreven, door de staat gesponsorde groepen zijn geïdentificeerd als de meest actieve, hebben geprofiteerd van zeven nuldagen (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, en CVE-2022-41328).
Follina nul-dag: Grotendeels geëxploiteerd in 2022
Mandiant heeft geconstateerd dat tal van campagnes gebruik hebben gemaakt van een kwetsbaarheid in Microsoft Diagnostics Tool (ook wel Follina genoemd) om de eerste toegang te krijgen. De kwetsbaarheid is ontdekt door het onderzoeksteam van nao_sec, na de ontdekking van een Word-document dat is geüpload naar VirusTotal vanaf een Wit-Russisch IP-adres. De onderzoekers plaatsten een reeks tweets met details over hun ontdekking. Het Follina (CVE-2022-30190) kwetsbaarheid maakt gebruik van de externe link van Microsoft Word om de HTML te laden en gebruikt vervolgens het 'ms-msdt'-schema om PowerShell-code uit te voeren.
In 2022, Follina werd bewapend door verschillende aan China gerelateerde spionageclusters. Dit suggereert dat de zero-day-exploit waarschijnlijk door verschillende Chinese spionagegroepen is verspreid “een digitale kwartiermaker”, wat wijst op de aanwezigheid van een gecentraliseerde coördinerende entiteit die middelen voor ontwikkeling en logistiek deelt.
Bedreigingsactoren uit Noord-Korea en Rusland zijn in verband gebracht met het gebruik van elk twee zero-day-kwetsbaarheden. Deze omvatten CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, en CVE-2023-23397. Deze onthulling komt op een moment dat bedreigingsactoren steeds bedrevener worden in het transformeren van nieuw onthulde kwetsbaarheden in effectieve exploits voor het aanvallen van een breed scala aan doelen over de hele wereld, merkte Mandiant op.
Zero-Day Exploitatie in 2022: de conclusie
Uit de 53 zero-day kwetsbaarheden geïdentificeerd in 2022, de meesten werden gebruikt om ofwel te winnen uitvoering van externe code of verhoogde privileges, die beide aansluiten bij de primaire doelstellingen van dreigingsactoren. Hoewel kwetsbaarheden voor het vrijgeven van informatie de aandacht kunnen trekken vanwege hun potentieel om te leiden tot misbruik van klant- en gebruikersgegevens, de omvang van de schade die door deze kwetsbaarheden kan worden veroorzaakt, is meestal beperkt. Anderzijds, het verkrijgen van verhoogde privileges of het uitvoeren van code kan ertoe leiden dat de aanvaller lateraal door het netwerk kan bewegen, leidend tot verdere schade buiten het oorspronkelijke toegangspunt, het rapport wordt geconcludeerd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: