47% de los delincuentes que compran exploits apuntan a Microsoft …



Los investigadores examinan los exploits clandestinos en inglés y ruso para rastrear cómo se anuncian y venden los exploits.

CONFERENCIA RSA 2021: los productos de Microsoft representaron el 47% de los CVE que los ciberdelincuentes solicitan en foros clandestinos, según los investigadores que realizaron un estudio de un año sobre el mercado de exploits.

La investigación abarcó más de 600 foros en inglés y ruso, dijo Mayra Rosario Fuentes, investigadora senior de amenazas de Craze Micro, quien presentó algunos de los hallazgos en su charla en la conferencia RSA «Tales from the Underground: The Vulnerability Weaponization Lifecycle». Los investigadores buscaron saber qué exploits se vendieron y solicitaron, los tipos de vendedores y compradores involucrados en las transacciones y cómo se compararon sus hallazgos con sus sistemas de detección.

Los investigadores buscaron anuncios de ventas de exploits desde enero de 2019 hasta diciembre de 2020. Descubrieron que las herramientas y servicios de Microsoft constituían el 47% de todos los CVE solicitados en foros clandestinos. Los productos conectados a World-wide-web representaron solo el 5%, «pero con un mayor ancho de banda de los dispositivos conectados con el nuevo 5G que ingresa al mercado, los dispositivos IoT se volverán más vulnerables a los ciberataques», señaló Fuentes en su charla.

Más de la mitad (52%) de los exploits solicitados tenían menos de dos años. Los compradores estaban dispuestos a pagar un promedio de $ 2,000 (USD) por los exploits solicitados sin embargo, algunos ofrecieron hasta $ 10,000 por exploits de día cero dirigidos a productos de Microsoft.

Fuentes compartió algunos ejemplos de estas solicitudes de explotación. Una publicación en el foro solicitó ayuda con respecto a un exploit para CVE-2019-1151, una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Graphics que existe cuando la biblioteca de fuentes de Home windows maneja incorrectamente fuentes incrustadas especialmente diseñadas. Otro ofreció $ 2,000 por ayuda para aprovechar una falla de RCE en el servidor internet Apache.

Al investigar las vulnerabilidades de publicidad de publicaciones en foros, los investigadores encontraron que el 61% apuntaba a productos de Microsoft. El porcentaje más alto (31%) fue para Microsoft Place of work, el 15% fue para Microsoft Home windows, el 10% fue para Internet Explorer y el 5% fue para Microsoft Remote Desktop Protocol. Fuentes señaló que los exploits para Business y Adobe eran más comunes en los foros en inglés.

Una comparación de las listas de deseos de los ciberdelincuentes y los exploits vendidos reveló paralelismos entre las dos categorías, señaló Fuentes.

«Notamos que lo solicitado period muy identical a lo que ofrecía el mercado», dijo. «Es posible que los ciberdelincuentes hayan visto los artículos solicitados por los usuarios antes de decidir qué artículos ofrecer en el mercado».

Las vulnerabilidades de Microsoft Term y Excel «dominaron» en ambas categorías, continuó Fuentes, profundizando en la categoría más amplia de Place of work. Phrase y Excel constituían el 46% de las vulnerabilidades en las listas de deseos de los delincuentes y el 52% de las explotaciones anunciadas en foros clandestinos.

El ciclo de vida de las hazañas subterráneas
Fuentes habló sobre cómo se desarrollan y venden los exploits, comenzando desde el principio. Un exploit puede ser desarrollado primero por un atacante, que lo vende y luego se utiliza en la naturaleza. A partir de ahí, generalmente se divulga públicamente y el proveedor lo parchea. Esto puede poner fin al ciclo de vida del exploit o continuará ofreciéndose a la venta en los foros de la Darkish World wide web.

Hay varios tipos de vendedores, señaló. Un vendedor experimentado con al menos cinco años de experiencia podría vender un par de exploits de día cero o de un día por año con precios que oscilan entre $ 10,000 y $ 500,000. Algunos vendedores están descontentos con los programas de recompensas por errores debido a tiempos de respuesta prolongados o pagos más bajos de lo esperado Fuentes señaló que la mayoría de las personas estaban contentas con las experiencias de recompensas por errores, pero aquellos que no lo estaban pueden vender exploits en foros clandestinos.

Otros «vendedores de recompensas» pueden haber cobrado la cantidad máxima de envíos de recompensas para el año, o pueden ofrecer comprar exploits que pueden usar para sacar provecho de los programas de recompensas por errores. Hay quienes encuentran hazañas que otras personas desarrollaron y las venden como propias.

Algunos vendedores anuncian servicios de suscripción de «creador de exploits» que van desde $ 60 por un mes, a $ 120 por tres meses, a $ 200 por seis meses. Los paquetes incluyen una variedad de diferentes tipos de exploits, junto con «actualizaciones gratuitas» y «soporte completo» para compradores criminales, señaló.

Si bien los días cero pueden tener un precio más alto, muchos exploits vendidos en el subsuelo apuntaban a sistemas más antiguos. Los investigadores encontraron que el 22% de los exploits vendidos tenían más de tres años y el 48% de los solicitados tenían más de tres años. La vulnerabilidad más antigua descubierta fue de 1999, dijo Fuentes, y agregó que el tiempo promedio para parchear un sistema orientado a World-wide-web es de 71 días.

Las vulnerabilidades más antiguas solicitadas incluían CVE-2014-0133 en Crimson Hat y CVE-2015-6639 en Qualcomm. Los vendidos incluyeron Microsoft CVE-2017-11882, un problema de corrupción de memoria de 17 años en Microsoft Office, junto con la vulnerabilidad de Place of work CVE-2012-0158 y CVE-2016-5195, una vulnerabilidad del kernel de Linux denominada Soiled Cow que se vendió por $ 3,000 en el metro, dijo.

«La longevidad de un exploit valioso es más larga de lo que la mayoría espera», dijo Fuentes. «Parchar la vulnerabilidad de ayer puede ser tan importante como la crítica de hoy».

Development Micro publicará un informe con los hallazgos completos en unas pocas semanas, señaló.

Kelly Sheridan es la editora de personalized de Dark Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic