Um novo relatório da Mandiant lança luz sobre o estado de exploração de dia zero em todo o mundo 2022.
No 2022, 55 zero-day vulnerabilidades foram exploradas na natureza, com a maioria das falhas sendo encontradas em software da Microsoft, Google, e maçã. Este número está abaixo do 81 zero-days armados no ano anterior, mas ainda indica um aumento notável em agentes de ameaças que utilizam problemas de segurança desconhecidos para seu ganho.
De acordo com a empresa de inteligência de ameaças Mandiant, os produtos mais explorados foram sistemas operacionais de desktop (19), navegadores web (11), Produtos de gerenciamento de TI e rede (10), e sistemas operacionais móveis (seis). Treze dos 55 bugs de dia zero foram usados por grupos de espionagem, e quatro outros foram usados por agentes de ameaças financeiramente motivados para atividades relacionadas a ransomware.
Três dos zero-days estavam ligados a fornecedores comerciais de spyware. Grupos patrocinados pelo Estado atribuídos à China foram identificados como os mais ativos, tendo aproveitado sete dias zero (CVE-2022-24682, CVE-2022-1040, CVE-2022-30190, CVE-2022-26134, CVE-2022-42475, CVE-2022-27518, e CVE-2022-41328).
Follina Zero-Day: Amplamente explorado em 2022
A Mandiant observou que várias campanhas utilizaram uma vulnerabilidade na ferramenta de diagnóstico da Microsoft (também conhecido como Follina) para obter acesso inicial. A vulnerabilidade foi descoberta pela equipe de pesquisa nao_sec, após a descoberta de um documento do Word carregado no VirusTotal de um endereço IP da Bielorrússia. Os pesquisadores postaram uma série de tweets detalhando sua descoberta. o Follina (CVE-2022-30190) vulnerabilidade aproveita o link externo do Microsoft Word para carregar o HTML e, em seguida, usa o esquema 'ms-msdt' para executar o código do PowerShell.
No 2022, Follina foi armado por uma variedade de clusters de espionagem relacionados à China. Isso sugere que a exploração de dia zero provavelmente foi distribuída a vários grupos de espionagem chineses por “um intendente digital”, indicando a presença de uma entidade de coordenação centralizada que compartilha recursos de desenvolvimento e logística.
Atores de ameaças da Coréia do Norte e da Rússia foram conectados à utilização de duas vulnerabilidades de dia zero cada. Estes incluem CVE-2022-0609, CVE-2022-41128, CVE-2022-30190, e CVE-2023-23397. Esta revelação ocorre em um momento em que os agentes de ameaças estão se tornando mais habilidosos em transformar vulnerabilidades recém-reveladas em explorações eficazes para atacar uma ampla gama de alvos em todo o mundo., Mandiant apontou.
Exploração de dia zero em 2022: a conclusão
Fora de 53 vulnerabilidades de dia zero identificadas em 2022, a maioria foi usada para ganhar execução remota de código ou privilégios elevados, ambos alinhados com os objetivos principais dos agentes de ameaças. Embora as vulnerabilidades de divulgação de informações possam chamar a atenção devido ao seu potencial de levar ao uso indevido de dados de clientes e usuários, a extensão dos danos que podem ser causados por essas vulnerabilidades geralmente é limitada. Por outro lado, obter privilégios elevados ou executar código pode fazer com que o invasor seja capaz de se mover lateralmente pela rede, levando a mais danos além do ponto inicial de acesso, o relatório concluiu.