A pesar de un aumento en el descubrimiento de ataques Zero-Days, las inversiones en seguridad en sistemas operativos y mitigaciones de vulnerabilidades de software están obligando a los atacantes a encontrar nuevas superficies de ataque y patrones de errores.
Esa es la conclusión de un nuevo informe de Google sobre Zero Days documentados en 2023 que muestra una reducción masiva en el uso después de la liberación y la explotación del motor JavaScript.
"En todos los navegadores y sistemas operativos, las inversiones en mitigación de exploits están afectando a los atacantes y a los tipos de vulnerabilidades que pueden utilizar", según el informe que combina datos de las unidades TAG, Mandiant y Project Zero de Google.
Los hallazgos clave del informe incluyen:
- Las inversiones en seguridad de los proveedores están funcionando, lo que dificulta ciertos ataques.
- Los ataques se dirigen cada vez más a componentes de terceros y afectan a múltiples productos.
- La orientación empresarial está aumentando, con más atención en software y dispositivos de seguridad.
- Los proveedores comerciales de vigilancia lideran los ataques a navegadores y dispositivos móviles.
- La República Popular China (RPC) sigue siendo el principal explotador de los días cero respaldado por el Estado.
- Los ataques por motivos financieros disminuyeron proporcionalmente.
Los actores de amenazas están aprovechando cada vez más los días cero, a menudo con fines de evasión y persistencia, y no esperamos que esta actividad disminuya en el corto plazo. Se están logrando avances en todos los frentes, pero las vulnerabilidades de día cero siguen siendo una amenaza importante.
"De los ocho días cero de Chrome, ninguna de las vulnerabilidades estaba en el Modelo de Objetos de Documento (DOM), y ninguna era de uso después de la liberación", señalaron los investigadores, remarcando la tendencia al lanzamiento de múltiples mitigaciones de exploits para abordar las principales vulnerabilidades y técnicas de explotación.
"En 2023, no se explotaron vulnerabilidades de uso después de la liberación en Chrome por primera vez desde que comenzamos a ver Chrome con cero días en estado salvaje", dijo la compañía, señalando que tanto Chrome como Safari de Apple han dificultado la explotación de vulnerabilidades del motor JavaScript a través de la zona mitigaciones en V8 y JITCage.
"Los exploits ahora deben incluir omisiones para estas mitigaciones en lugar de simplemente explotar el error directamente", dijo el grupo.
La función experimental de modo de bloqueo de iOS de Apple, que reduce significativamente las superficies de ataque al limitar ciertas funciones del dispositivo, también está dificultando la vida de los atacantes, dijo Google.
"Si estuviera habilitado, el modo de bloqueo habría protegido a los usuarios de la mayoría de las cadenas de explotación descubiertas dirigidas a iOS y los atacantes no habrían podido comprometer con éxito sus objetivos", señalaron los investigadores.
Los investigadores de Google creen que los datos muestran que las inversiones están teniendo "un impacto real en la seguridad de los usuarios y obligando a los atacantes a dedicar tiempo a investigar nuevas superficies de ataque y encontrar nuevos patrones de errores".
Google dijo que sus equipos monitorearon 97 vulnerabilidades de día cero explotadas en estado salvaje en 2023, un aumento del 50% con respecto a los 62 errores explotados el año anterior. Al hacer cálculos, los investigadores descubrieron que los atacantes han cambiado su atención hacia componentes y bibliotecas de terceros que brindan un amplio acceso a múltiples objetivos de elección.
"Las vulnerabilidades en componentes de terceros tienden a ser de mayor valor y más útiles que las vulnerabilidades en el código propio del producto porque pueden afectar a más de un producto. Por lo tanto, un atacante sólo necesitaría un error y un exploit para afectar a dos productos diferentes en lugar de desarrollar y mantener dos diferentes", señalaron los investigadores.
"Si bien también hemos visto esto un par de veces en los últimos años, ocurrió con más frecuencia en 2023, especialmente en todos los navegadores", agregaron.
Los datos de Zoer-Days de 2023 muestran que los proveedores comerciales de software espía son expertos en la explotación de navegadores y dispositivos móviles, mientras que los equipos de piratería vinculados a China lideran el camino para la explotación respaldada por el gobierno. Google dijo que rastreó 61 días cero que se dirigieron específicamente a plataformas y productos de usuarios finales, incluidos dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones.
Los investigadores también notaron un aumento significativo en los días cero dirigidos a tecnologías específicas de empresas, como dispositivos de Barracuda, Cisco, Ivanti y Trend Micro.
En total, Google dijo que observó la explotación de nueve vulnerabilidades que afectan el software o dispositivos de seguridad y que proporcionan un objetivo valioso para los atacantes porque a menudo se ejecutan en el borde de una red con altos permisos y acceso.
Fuente: Security Weeks