Microsoft advierte sobre un repunte en el estado-nación y los actores criminales aprovechan cada vez más las vulnerabilidades de día cero divulgadas públicamente para violar los entornos de destino.
El gigante tecnológico, en sus 114 páginas Informe de Defensa Digitaldijo que ha “observado una reducción en el tiempo entre el anuncio de una vulnerabilidad y la mercantilización de esa vulnerabilidad”, por lo que es imperativo que las organizaciones corrijan tales vulnerabilidades de manera oportuna.
Esto también corrobora un aviso de abril de 2022 de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que descubrió que los malos actores están atacando “agresivamente” los errores de software recientemente revelados contra objetivos amplios a nivel mundial.
Microsoft señaló que solo se necesitan 14 días en promedio para que un exploit esté disponible después de la divulgación pública de una falla, y afirmó que, si bien los ataques de día cero inicialmente tienen un alcance limitado, tienden a ser adoptados rápidamente por otros actores de amenazas. lo que lleva a eventos de sondeo indiscriminados antes de que se instalen los parches.
Además, acusó a los grupos patrocinados por el estado chino de ser “particularmente competentes” en el descubrimiento y desarrollo de exploits de día cero.
Esto se ha visto agravado por el hecho de que la Administración del Ciberespacio de China (CAC) promulgó una nueva regulación de informes de vulnerabilidades en septiembre de 2021 que requiere que los fallos de seguridad se informen al gobierno antes de compartirlos con los desarrolladores de productos.
Redmond dijo además que la ley podría permitir que elementos respaldados por el gobierno almacenen y conviertan en armas los errores informados, lo que lleva a un mayor uso de los días cero para actividades de espionaje diseñadas para promover sus intereses económicos y militares.
Algunas de las vulnerabilidades que primero explotaron los actores chinos antes de ser detectadas por otros grupos adversarios incluyen:
- CVE-2021-35211 (Puntuación CVSS: 10.0) – Una falla de ejecución remota de código en el servidor de transferencia de archivos administrado SolarWinds Serv-U y el software Serv-U Secure FTP que fue explotado por DEV-0322.
- CVE-2021-40539 (Puntuación CVSS: 9,8): una falla de omisión de autenticación en Zoho ManageEngine ADSelfService Plus que fue explotada por DEV-0322 (TiltedTemple).
- CVE-2021-44077 (Puntuación CVSS: 9,8): una falla de ejecución de código remoto no autenticado en Zoho ManageEngine ServiceDesk Plus que fue explotada por DEV-0322 (TiltedTemple).
- CVE-2021-42321 (Puntuación CVSS: 8.8): una falla de ejecución remota de código en Microsoft Exchange Server que se explotó tres días después de que se revelara durante el concurso de piratería de la Copa Tianfu el 16 y 17 de octubre de 2021.
- CVE-2022-26134 (Puntuación CVSS: 9,8) – Una falla de inyección de Object-Graph Navigation Language (OGNL) en Atlassian Confluence que probablemente se aprovechó contra una entidad estadounidense no identificada días antes de la divulgación de la falla el 2 de junio.
Los hallazgos también llegan casi un mes después de que CISA publicara una lista de principales vulnerabilidades armado por actores con sede en China desde 2020 para robar propiedad intelectual y desarrollar el acceso a redes sensibles.
“Las vulnerabilidades de día cero son un medio particularmente efectivo para la explotación inicial y, una vez expuestas públicamente, las vulnerabilidades pueden ser reutilizadas rápidamente por otros estados nacionales y actores criminales”, dijo la compañía.
About the Author
