8 de los 10 errores más explotados el año pasado involucrados …



Seis de ellos fueron los mismos que el año anterior, según un nuevo análisis de Futuro Registrado.

Por tercer año consecutivo, los ciberdelincuentes emplearon vulnerabilidades en los productos de Microsoft mucho más que fallas de seguridad en cualquier otra tecnología, según muestran nuevos datos para 2019.

Ocho de las 10 vulnerabilidades más explotadas en 2019 afectaron los productos de Microsoft. Los otros dos, incluido el defecto más explotado, involucraban a Adobe Flash Participant, el favorito de los principales atacantes anteriores, según el análisis de Recorded Potential.

Al igual que lo ha hecho durante los últimos años, Recorded Long run analizó los datos recopilados de las bases de datos de vulnerabilidades y otras fuentes para tratar de identificar las vulnerabilidades que se utilizaron más en ataques de phishing, kits de explotación y troyanos de acceso remoto.

La firma de inteligencia de amenazas consideró datos sobre unas 12,000 vulnerabilidades que fueron reportadas y calificadas a través del sistema de Vulnerabilidades y Exposición Común (CVE) el año pasado. De acuerdo con Recorded Potential, las vulnerabilidades relacionadas con los exploits de estado-nación se excluyeron específicamente de la lista porque tales fallas generalmente no se ofrecen a la venta ni se mencionan mucho en foros clandestinos.

El análisis de 2019 mostró una preferencia continua, y no sorprendente, entre los cibercriminales por fallas que afectan el software de Microsoft.

La vulnerabilidad más explotada en 2019 fue CVE-2018-15982, un problema llamado uso después del uso gratuito que afecta a Adobe Flash Participant 31…153 y versiones anteriores, y 31…108 y versiones anteriores. Los exploits para la falla de ejecución remota de código se distribuyeron ampliamente a través de al menos diez kits de exploits, incluidos RIG, Grandsoft, UnderMiner y dos recién llegados, Capesand y Spelevo. Pero esta vulnerabilidad y otro problema de uso libre posterior que afecta a varias versiones de Adobe Flash Player (CVE-2018-4878), fueron los únicos en la lista de los 10 principales de Recorded Long run no relacionados con Microsoft.

Cuatro de las ocho vulnerabilidades restantes en Recorded Potential&#39s top 10 lista más explotada Net Explorer afectado. Uno de ellos-CVE-2018-8174—Una falla de ejecución remota de código en el motor de Home windows VBScripting, fue la segunda falla más abusada este año— y el problema más explotado en 2018. Las vulnerabilidades de la falla se distribuyeron a través de múltiples kits de vulnerabilidades, incluidos RIG, Fallout, Spelevo y Capesand.

De manera preocupante, hasta seis de las vulnerabilidades en la lista de este año, también estuvieron presentes en el top 10 de 2018. Uno de ellos: una falla crítica en la ejecución remota de código en Microsoft Place of work / Wordpad (CVE-2017-0199): Ha estado en la lista durante tres años. De hecho, solo una vulnerabilidad de seguridad en la lista de los 10 principales de Recorded Upcoming 2019 se reveló el mismo año:CVE-2019-0752—Una «vulnerabilidad de daños en la memoria del motor de secuencias de comandos» en World wide web Explorer 10 y 11.

«El número de vulnerabilidades repetidas es significativo porque revela la viabilidad a largo plazo de ciertas vulnerabilidades», dice Kathleen Kuczma, ingeniera de ventas de Recorded Long run. Las vulnerabilidades que son fáciles de explotar o afectar una tecnología común a menudo se incorporan en kits de explotación y se venden en foros clandestinos criminales, señala.

CVE-2017-0199, por ejemplo, continúa siendo fuertemente explotado porque impactó múltiples productos de Microsoft, específicamente Microsoft Office environment 2007-2016, Home windows Server 2008 y Home windows 7 y 8. «El número de productos afectados junto con su inclusión en múltiples Kits de explotación hace que sea una vulnerabilidad practical continuar explotando.

Otra razón por la que los delincuentes continúan explotando ciertas vulnerabilidades es simplemente porque funcionan. Las organizaciones a menudo pueden tardar mucho tiempo en abordar las vulnerabilidades conocidas, incluso cuando los defectos se explotan activamente o se distribuyen a través de kits de explotación. Las razones comunes de los retrasos en la aplicación de parches incluyen la preocupación por el tiempo de inactividad y las interrupciones operativas y la preocupación por los parches que no funcionan o rompen las aplicaciones. Otras razones incluyen la falta de visibilidad y la incapacidad para identificar sistemas potencialmente vulnerables en una red.

Desafíos de parches

«A muchos en seguridad, principalmente aquellos que no trabajan en equipos azules para grandes organizaciones, les gusta mirar a través de lentes shade de rosa», dice Brian Martin, vicepresidente de inteligencia de vulnerabilidad en Danger Dependent Safety. «La desafortunada realidad es que parchear todos los sistemas en una gran organización es brutal».

No es raro que los probadores de penetración descubran sistemas en una crimson objetivo de los que la organización contratante ni siquiera estaba al tanto, dice.

El análisis de Long run registrado mostró una disminución continua en el uso y la disponibilidad de nuevos kits de exploits. Hubo un tiempo en que los kits de exploits eran extremadamente populares porque permitían incluso a los ciberdelincuentes con relativamente pocas habilidades la oportunidad de ejecutar ataques sofisticados. En 2016, Recorded Foreseeable future contó al menos 62 nuevos kits de exploits en mercados subterráneos. En 2019, solo eran cuatro nuevos participantes.

La disminución, que numerosos vendedores e investigadores de seguridad han informado en los últimos dos años o más, es principalmente el resultado de múltiples acciones exitosas de aplicación de la ley contra los grupos que venden kits de explotación.

El arresto en 2016 de docenas de personas en Rusia detrás de las operaciones del package de explotación de Angler, es solo un ejemplo, dice Kuczma. Otro aspect es la relativamente escasez de fallas de día cero, que fueron los kits de explotación en los que se basó principalmente para tener éxito. «Con menos días cero, las empresas están en mejores condiciones de reforzar sus defensas contra el posible uso de kits de explotación», señala.

Harrison Van Riper, analista de estrategia e investigación en Digital Shadows, dice que otro variable es el fin de la vida útil previsto de Adobe Flash este año. Adobe Flash solía ser un vector de ataque extremadamente común y, por lo tanto, well known entre los fabricantes de kits de exploits. Pero con la tecnología programada para su finalización este año y los navegadores modernos que ya no ejecutan Flash automáticamente, el interés en los kits de exploits ha disminuido.

Las listas como las de Recorded Foreseeable future pueden ayudar a las organizaciones a identificar las mayores amenazas inmediatas para que se puedan priorizar las acciones correctivas. Según Recorded Foreseeable future, menos del 1% de todas las vulnerabilidades reveladas son armadas de inmediato. Por lo tanto, al tener información sobre los que están siendo explotados activamente, las organizaciones pueden obtener una mejor comprensión de los problemas específicos que afectan su pila de tecnología.

«Las vulnerabilidades que se están explotando activamente deberían considerarse prioridades para parchar», dice Van Riper. «Mantenerse al día con las vulnerabilidades y vulnerabilidades recientemente reveladas, también puede ayudar a priorizar los procesos de parches».

Las organizaciones deben darse cuenta de que a menudo, las vulnerabilidades conocidas se explotan activamente antes de que se le asigne un número CVE, dice Martin de Possibility Dependent Protection.

Según la compañía, el sistema CVE y la Foundation de datos nacional de vulnerabilidad a menudo no incluye muchas vulnerabilidades de seguridad que los investigadores descubren y divulgan de varias maneras. En un informe del año pasado, Threat Based Security advirtió que las organizaciones que dependen únicamente del sistema CVS / NVD probablemente no obtengan información sobre casi un tercio de todas las vulnerabilidades reveladas. Danger Centered Security ha dicho que sus investigadores encontraron 5.970 vulnerabilidades más el año pasado que las reportadas en el NVD. De eso, más del 18% tenía una calificación de gravedad de entre 9 y 10.

«Si bien dicha lista es interesante y útil, un matiz más interesante para la lista sería observar las vulnerabilidades pero mostrar una métrica de &#39tiempo para la asignación de CVE&#39», dice. Esto puede ayudar a determinar cuánto tiempo pasó un error de seguridad desde la primera explotación registrada hasta que el CVE se asignó al CVE que se abrió y se hizo público.

Para las organizaciones, la conclusión clave es prestar atención a los parches. «La gestión de vulnerabilidades se ha convertido en una prioridad principal recientemente, dada la proliferación de ataques que dependen de exploits que tienen parches existentes», dice Rui Lopes, director de ingeniería y soporte técnico de Panda Security. «Un proceso sólido para evaluar e implementar parches debería ser la foundation del plan de gestión de vulnerabilidades de cada organización».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia first