La mayoría de los ataques del segundo trimestre se dirigieron a vulnerabilidades antiguas de Microsoft



Los ataques dirigidos a una vulnerabilidad de ejecución remota de código en el motor del navegador MSHTML de Microsoft, que fue parcheado en septiembre pasado, se dispararon durante el segundo trimestre de este año, según un análisis de Kaspersky.

Los investigadores de Kaspersky contaron al menos 4886 ataques dirigidos a la falla (CVE-2021-40444) el último trimestre, un aumento de ocho veces con respecto al primer trimestre de 2022. El proveedor de seguridad atribuyó el continuo interés del adversario en la vulnerabilidad a la facilidad con la que se puede explotar.

Kaspersky dijo que ha observado a los actores de amenazas que explotan la falla en los ataques a organizaciones en múltiples sectores, incluidos los sectores energético e industrial, investigación y desarrollo, empresas de TI y empresas de tecnología médica y financiera. En muchos de estos ataques, los adversarios han utilizado trucos de ingeniería social para intentar que las víctimas abran documentos de Business office especialmente diseñados que luego descargarían y ejecutarían un script malicioso. La falla estaba bajo ataque activo en el momento en que Microsoft la reveló por primera vez en septiembre de 2021.

Los ataques dirigidos a la falla de MSHTML formaron parte de un conjunto más amplio de actividades de explotación durante el último trimestre que se dirigía abrumadoramente a las vulnerabilidades de Microsoft. Según Kaspersky, los exploits para las vulnerabilidades de Home windows representaron el 82 % de todos los exploits en todas las plataformas durante el segundo trimestre de 2022. Si bien los ataques a la vulnerabilidad MSHTML aumentaron de manera más dramática, de ninguna manera fue la falla más explotada.

Viejo es oro para los actores de amenazas

La telemetría de Kaspersky mostró muchos más ataques en un puñado de otras vulnerabilidades de 2018 y 2017. Uno de ellos fue CVE-2018-0802, una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Business office que fue atacada unas 345.827 veces el último trimestre. Otra falla comparable de corrupción de memoria de 2017 (CVE-2017-11882) fue objeto de 140 623 ataques, mientras que una falla de ejecución remota de código de Microsoft Workplace/WordPad también a partir de 2017 (CVE-2017-0199) participó en 60.132 ataques.

La llamada vulnerabilidad Follina en Microsoft Assist Diagnostic Software (MSDT) (CVE-2022-30190) fue una de las vulnerabilidades recientes más atacadas. La falla RCE fue una de al menos Cinco fallas de día cero que Microsoft ha revelado este año.

En whole, Kaspersky encontró vulnerabilidades en versiones anteriores de Microsoft Office environment que se utilizaron en ataques contra más de medio millón de usuarios en el segundo trimestre. Los ataques son otro recordatorio de cómo las vulnerabilidades sin parches en tecnologías más antiguas siguen siendo un objetivo well-known y muy atractivo para los actores de amenazas, señaló el proveedor de seguridad. «Las versiones antiguas de las aplicaciones siguen siendo los principales objetivos de los atacantes, con casi 547.000 usuarios en complete afectados por las vulnerabilidades correspondientes en el último trimestre», dijo Kaspersky.

El informe de Kaspersky es otro recordatorio de por qué los expertos en seguridad recomiendan parchear rápidamente las vulnerabilidades de Microsoft. Los datos recientes han demostrado que los atacantes se han vuelto mucho más rápidos que antes para explotar fallas. Un estudio que realizó Fast7 el año pasado mostró que la tiempo medio hasta la explotación conocida para vulnerabilidades en 2021 fue de solo 12 días, una disminución del 71 % con respecto a los 42 días en 2020. La compañía explicó que las cifras se deben a un fuerte aumento en la actividad de exploits de día cero. «Una reducción drástica en el tiempo de explotación año tras año significa que no solo son necesarios procedimientos de parches de emergencia muy usados, sino que es probable que los protocolos de respuesta a incidentes también requieran un uso repetido», señaló Quick7 en ese momento.



Enlace a la noticia unique