Microsoft advierte sobre un repunte entre los estados nacionales y los actores criminales que aprovechan cada vez más las vulnerabilidades de día cero divulgadas públicamente para violar los entornos de destino.
El gigante tecnológico, en su Informe de defensa digital de 114 páginas , dijo que ha «observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de esa vulnerabilidad», por lo que es imperativo que las organizaciones corrijan tales vulnerabilidades de manera oportuna.
Esto también corrobora con un aviso de abril de 2022 de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que encontró que los malos actores están atacando «agresivamente» los errores de software recientemente revelados contra objetivos amplios a nivel mundial.
Microsoft señaló que solo se necesitan 14 días en promedio para que un exploit esté disponible después de la divulgación pública de una falla, y afirmó que, si bien los ataques de día cero inicialmente tienen un alcance limitado, tienden a ser adoptados rápidamente por otros actores de amenazas. lo que lleva a eventos de sondeo indiscriminados antes de que se instalen los parches.
Además, acusó a los grupos patrocinados por el estado chino de ser «particularmente competentes» en el descubrimiento y desarrollo de exploits de día cero.
Esto se ha visto agravado por el hecho de que la Administración del Ciberespacio de China (CAC) promulgó una nueva regulación de informes de vulnerabilidades en septiembre de 2021 que requiere que los fallos de seguridad se informen al gobierno antes de compartirlos con los desarrolladores de productos.
Redmond dijo además que la ley podría permitir que elementos respaldados por el gobierno almacenen y conviertan en armas los errores informados, lo que resultará en un mayor uso de días cero para actividades de espionaje diseñadas para promover los intereses económicos y militares de China.
Algunas de las vulnerabilidades que primero explotaron los actores chinos antes de ser detectadas por otros grupos adversarios incluyen:
- CVE-2021-35211 (puntaje CVSS: 10.0): una falla de ejecución remota de código en el servidor de transferencia de archivos administrado SolarWinds Serv-U y el software Serv-U Secure FTP que fue explotado por DEV-0322.
- CVE-2021-40539 (puntaje CVSS: 9.8): una falla de omisión de autenticación en Zoho ManageEngine ADSelfService Plus que fue explotada por DEV-0322 (TiltedTemple).
- CVE-2021-44077 (puntaje CVSS: 9.8): una falla de ejecución de código remoto no autenticado en Zoho ManageEngine ServiceDesk Plus que fue explotada por DEV-0322 (TiltedTemple).
- CVE-2021-42321 (puntaje CVSS: 8.8): una falla de ejecución remota de código en Microsoft Exchange Server que se explotó tres días después de que se revelara durante el concurso de piratería de la Copa Tianfu el 16 y 17 de octubre de 2021.
- CVE-2022-26134 (puntaje CVSS: 9.8): una falla de inyección del lenguaje de navegación de gráficos de objetos (OGNL) en Atlassian Confluence que probablemente haya sido aprovechada por un actor afiliado a China contra una entidad estadounidense no identificada días antes de la divulgación de la falla en junio.
Los hallazgos también se producen casi un mes después de que CISA publicara una lista de las principales vulnerabilidades armadas por actores con sede en China desde 2020 para robar propiedad intelectual y desarrollar el acceso a redes sensibles.
“Las vulnerabilidades de día cero son un medio particularmente efectivo para la explotación inicial y, una vez expuestas públicamente, las vulnerabilidades pueden ser reutilizadas rápidamente por otros estados nacionales y actores criminales”, dijo la compañía.
