0
0
Atores de ameaças maliciosas exploraram ativamente 55 dias zero em 2022 – abaixo dos 81 em 2021 – com produtos da Microsoft, Google e Apple sendo os mais visados.
53 de 55 permitiram que os invasores obtivessem privilégios elevados ou executassem código remoto em dispositivos vulneráveis, revelou um novo relatório da Mandiant.
“Embora as vulnerabilidades de divulgação de informações possam muitas vezes chamar a atenção devido ao risco de divulgação e uso indevido de dados de clientes e usuários, a extensão das ações de invasores dessas vulnerabilidades costuma ser limitada. Alternativamente, privilégios elevados e execução de código podem levar a movimentos laterais nas redes, causando efeitos além do vetor de acesso inicial”, observaram os analistas da empresa .
Exploração de vulnerabilidade de N dias
Treze vulnerabilidades de dia zero foram exploradas por grupos de espionagem cibernética, com atores patrocinados pelo estado chinês explorando sete delas e atacantes norte-coreanos dois. Quatro dias zero foram atribuídos a agentes de ameaças motivados financeiramente, três dos quais foram vinculados a operações de ransomware.
Embora a exploração de vulnerabilidades de dia zero por agentes de ameaças motivados financeiramente tenha diminuído em 2022, a Mandiant descobriu que a exploração de vulnerabilidades de dia n – que envolve a exploração de vulnerabilidades que já foram corrigidas – ainda era comumente usada como um vetor de infecção inicial em incidentes de ransomware e extorsão .
A distribuição de tecnologias afetadas por vulnerabilidades de dia zero permaneceu semelhante aos anos anteriores, com os três maiores fornecedores cuja tecnologia é amplamente adotada em todo o mundo sendo os principais alvos:
Tecnologias populares são os alvos mais desejáveis
Além disso, os produtos explorados com mais frequência por meio de vulnerabilidades de dia zero foram:
- Sistemas operacionais (19)
- Navegadores (11)
- Produtos de segurança, TI e gerenciamento de rede (10)
- Sistemas operacionais móveis (6)
O Windows foi o sistema operacional mais frequentemente alvo de exploração (15 dias zero), enquanto os dias zero do macOS explorados em 2022 foram apenas quatro.
O Chrome foi o principal alvo da exploração do navegador, com nove das 11 vulnerabilidades de dia zero do navegador.
Atores de ameaças geralmente visam produtos de segurança, rede e gerenciamento de TI, pois estão sempre expostos à Internet e normalmente não têm EDR/XDR ou outras soluções de detecção para protegê-los.
“Esses dispositivos são alvos atraentes por vários motivos. Primeiro, eles podem ser acessados pela Internet e, se o invasor tiver uma exploração, poderá obter acesso a uma rede sem exigir nenhuma interação da vítima. Isso permite que o invasor controle o tempo da operação e pode diminuir as chances de detecção. O malware executado em um dispositivo conectado à Internet também pode permitir o movimento lateral para dentro de uma rede e permitir comando e controle ao canalizar comandos para dentro e dados para fora de uma rede”, apontaram os analistas.
“É importante observar que muitos desses tipos de produtos não oferecem um mecanismo simples para visualizar quais processos estão sendo executados nos sistemas operacionais do dispositivo. Esses produtos geralmente são destinados a inspecionar o tráfego de rede, procurando por anomalias e sinais de comportamento malicioso, mas muitas vezes não são protegidos de forma inerente”.
A importância do patch rápido
Mark Lamb, CEO da HighGround.io, diz que essas descobertas não são muito surpreendentes, uma vez que os zero-days não corrigidos fornecem uma maneira garantida de os invasores se infiltrarem nas organizações.
“O que é surpreendente é o quanto a exploração de dia zero caiu desde 2021”, acrescentou. “As empresas devem usar esses dados para reforçar a importância dos patches, mesmo que possam causar interrupções nos negócios. Assim que os zero-days são divulgados, o relógio começa a contar para os invasores que procuram maneiras de explorá-los; portanto, assim que as correções são lançadas, elas devem ser priorizadas e aplicadas aos sistemas. Quando se trata de patches, a maioria dos grandes fornecedores os lança em uma data específica todos os meses, portanto, eles devem ser aplicados o mais próximo possível do lançamento.”
FONTE: HELPNET SECURITY