Los ciberataques están aprovechando cada vez más vulnerabilidades zero day

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento Microsegmentación, clave para seguridad empresarial Leer Identificación de ataques web Leer

HP ha publicado su último informe global HP Wolf Security Threat Insights, que revela que los ciberdelincuentes están aumentando la capacidad de aprovechar vulnerabilidades zero day.

Un ejemplo es el ataque zero day CVE-2021-40444, una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML utilizando documentos de Microsoft Office, que fue registrado por primera vez el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre. El 10 de septiembre, apenas tres días después del boletín inicial de amenazas, el equipo de investigación de amenazas de HP observó que se compartían scripts en la plataforma GitHub, diseñados para automatizar la creación de este exploit.

Según Melchor Sanz, responsable de HP Wolf Security, “estos nuevos exploits tienden a ser eficaces a la hora de evadir las herramientas de detección porque las firmas pueden ser imperfectas y quedar obsoletas rápidamente a medida que cambia la comprensión del alcance de un exploit. Prevemos que los actores maliciosos adopten CVE-2021-40444 como parte de sus arsenales, y potencialmente incluso reemplacen los exploits comunes utilizados para obtener el acceso inicial a los sistemas hoy en día, como los que explotan Equation Editor”.

El equipo de seguridad de HP Wolf Security ha detectado asimismo un aumento de los ciberdelincuentes que utilizan proveedores legítimos de la nube y de la web para alojar malware. Una reciente campaña de GuLoader alojaba el troyano de acceso remoto (RAT) Remcos en plataformas tan importantes como OneDrive para evadir los sistemas de detección y pasar las pruebas de listas blancas. También se descubrieron varias familias de malware alojadas en plataformas de redes sociales de juegos como Discord.

“El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta ’ventana de vulnerabilidad’. Si bien al principio sólo podían aprovechar esta vulnerabilidad los hackers altamente capacitados, las secuencias de comandos automatizadas han bajado el listón de entrada, haciendo que este tipo de ataque sea accesible a actores con menos conocimientos y recursos. Esto aumenta sustancialmente el riesgo para las empresas, ya que los exploits o vulnerabilidades zero day se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos”, explica Sanz.