Soluciones de software package que no se apagan …



Los parches incompletos permiten a los atacantes seguir explotando las mismas vulnerabilidades, lo que lessen el costo de comprometer.

Más de un tercio de las vulnerabilidades de día cero descubiertas en 2020 fueron variantes de problemas previamente revelados, o parcheados de forma incompleta, lo que demuestra que los atacantes no tienen que hacer una investigación unique para continuar explotando muchas vulnerabilidades, dijo un investigador de Google a los asistentes virtuales a USENIX&#39s. Conferencia Enigma 2021 esta semana.

En una presentación titulada «El estado de la explotación de día cero en la naturaleza», la investigadora de seguridad de Google Maddie Stone discutió cómo seis de los 24 exploits de día cero detectados por el equipo de Google Undertaking Zero en 2020 eran variantes de vulnerabilidades previamente descubiertas. Además, otros tres exploits apuntaban a fallas que habían sido mal reparadas y, con algunos ajustes, podían ser atacadas nuevamente.

En resumen, los desarrolladores de application no están solucionando adecuadamente las vulnerabilidades conocidas, dando regalos a los atacantes de problemas fáciles de investigar, dijo.

«(A) en la industria, los parches incompletos facilitan a los atacantes explotar a los usuarios con cero días», dijo. «No exigimos a los atacantes que creen todas las nuevas clases de errores, desarrollen (nuevos tipos de) explotación o examinen código que nunca antes se ha investigado. Estamos permitiendo la reutilización de vulnerabilidades que conocíamos anteriormente».

Las vulnerabilidades de día cero (problemas de seguridad que los proveedores de software package desconocen en el momento en que se explotan) son a menudo herramientas de atacantes estatales o proveedores comerciales de software package espía. En lo que va del año, Microsoft anunció que una vulnerabilidad en su application anti-malware, Microsoft Defender, tenía un código de prueba de concepto publicado en la naturaleza. Además, Apple solucionó tres vulnerabilidades en iOS y iPadOS a fines de enero que actualmente se están explotando en la naturaleza.

Si bien la gran mayoría de los ataques no se basan en la explotación de vulnerabilidades desconocidas, la detección de ataques incluso cuando utilizan vulnerabilidades de día cero es una parte essential de cualquier programa de seguridad.

Sin embargo, las clases novedosas de errores tienden a recibir la mayor atención La investigación de Stone sugiere que la estrategia más rentable de los atacantes es analizar los parches y determinar los detalles de cualquier vulnerabilidad parcheada. Ese enfoque no solo brinda a los atacantes información sobre problemas de seguridad que aún podrían explotarse en sistemas sin parches, ya que las empresas y los usuarios a menudo tardan en parchear, sino que la información obtenida del ejercicio podría sugerir formas de eludir la solución del software program.

Los proveedores de software program deben concentrarse en hacer el parche correcto la primera vez, dijo Stone.

«Lo que estamos detectando es que los atacantes pueden seguir usando … superficies de ataque y los mismos tipos de vulnerabilidades y los mismos métodos de explotación que han podido usar antes. Eso parece una gran pérdida (de una oportunidad) que no hemos podido capitalizar como industria ”, dijo.

Stone argumentó que los parches deben ser correctos y completos la primera vez que se lanzan. Los parches correctos solucionan el problema de seguridad y previenen la explotación de la vulnerabilidad subyacente. Los parches completos también cubren cualquier otro vector de explotación de la misma vulnerabilidad.

«Al explotar una sola vulnerabilidad o error, a menudo hay varias formas de activar la vulnerabilidad, o múltiples rutas para acceder a ella», dijo en una publicación de weblog publicada hoy. «Muchas veces vemos que los proveedores bloquean solo la ruta que se muestra en la prueba de concepto o la muestra de explotación, en lugar de corregir la vulnerabilidad en su conjunto, lo que bloquearía todas las rutas».

Google Job Zero se ha centrado en encontrar vulnerabilidades para elevar el listón de los atacantes que buscan problemas de seguridad desconocidos. Las 24 vulnerabilidades de día cero que se descubrió que se explotaron en 2020 son aproximadamente promedio. El número de vulnerabilidades previamente desconocidas descubiertas durante los ataques osciló entre 12 y 28 en los últimos siete años, con 20 encontradas en 2019, según un análisis de las vulnerabilidades de día cero publicado en 2019.

Una parte clave de la iniciativa es la detección y seguimiento de ataques que utilizan vulnerabilidades previamente desconocidas, una batalla que Stone teme que la industria esté perdiendo. En su mayor parte, las empresas y organizaciones no detectan la explotación de vulnerabilidades no reveladas, concluyó Stone.

Si bien hay una variedad de formas de mejorar, el mejor comienzo es evitar que los atacantes reutilicen los problemas parcheados, dijo.

«Casi todos los equipos de seguridad que conozco tienen recursos limitados», dijo. «Pero obtenemos este regalo cuando se detectan. Tenemos una notion de los métodos de explotación que utilizan los atacantes. No quieren que lo sepamos, entonces tienen que invertir más investigación … en lugar de poder volver a las mismas áreas una y otra vez «.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT&#39s Technology Review, Popular Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary