Los atacantes aceleran la incorporación de vulnerabilidades recientes en sus kits

martes, 1 de octubre de 2013

F-Secure ha publicado su reporte sobre amenazas que cubre la primera mitad de 2013. En el estudio (además de una espectacular tercera página de su Chief Research Office, Mikko, en alta resolución) se refleja la experiencia de la casa antivirus durante estos seis meses detectando amenazas y tendencias. Uno de los datos más interesantes son los relativos a las vulnerabilidades utilizadas, y cuándo están siendo incorporadas a los kits de los atacantes.

Los kits de explotación siguen siendo, desde hace varios años, el método más efectivo para infectar los sistemas. Otras formas de infectar como el envío de correos con ejecutables o documentos que aprovechan vulnerabilidades son muy usados, pero menos eficaces. La mayor parte de las veces, basta con mantener el sistema actualizado para permanecer relativamente a salvo. Aunque, ante ataques desconocidos o no parcheados oficialmente, es necesario utilizar herramientas adicionales que protejan contra las técnicas de exploiting más habituales.

Los kits de explotación web son un negocio floreciente. Se han creado unos 8 ó 10 este año. Sin embargo Blackhole, Cool, CrimeBoss,Styx y SweetOrange copan tres cuartas partes del "mercado". Como producto, necesitan incorporar reclamos para sus posibles clientes. Factores como la usabilidad y precio influyen, pero si un usuario de un kit necesita rentabilizar su inversión quiere resultados. Y para ello necesita vulnerabilidades "de calidad" que funcionen en la mayoría de las potenciales víctimas. Cuanto más recientes las vulnerabilidades y en un software más popular, más víctimas potenciales. Así durante 2013 se ha observado una tendencia clara: estos exploits cada vez se incorporan antes a los kits.

Por ejemplo, el 20 de abril se publicó en Metasploit el código para explotar CVE-2013-2423. Un día más tarde ya estaba siendo aprovechado por el kit CrimeBoss. CVE-2013-1347 es un fallo grave en Internet Explorer con la que se comprometió una organización gubernamental americana en mayo. En junio, poco después de que Microsoft publicara el parche, se estaba ya usando en el kit Private. Así, durante este primer semestre ya se han incorporado a la mayoría de kits vulnerabilidades de este mismo año: CVE-2013-0422 (Java en enero), CVE-2013-0431 (Java en febrero), CVE-2013-1493 (Java en marzo) y CVE-2013-2423 (Java también en marzo).

Top 5

Y cuando los atacantes disponen de vulnerabilidades recientes, fiables y populares, la explotación se centra en lo eficaz y se segmenta muy poco. Así, durante el primer semestre de 2013, cinco vulnerabilidades fueron responsables del 95% de los incidentes relacionados con fallos de seguridad (sufridos por los clientes de F-Secure). Y de ellas, 4 corresponden a Java y una a Windows:

F-Secure 1H2013 report

  • CVE-2011-3402:  Aprovechada por Duqu a finales de 2011, un fallo a procesar fuentes TrueType en Windows. Efectiva y que da privilegios al atacante.
  • Las mencionadas: CVE-2013-1493, CVE-2011-2423, CVE-2013-0422 y CVE-2011-3544, un problema en Java en octubre 2011.

Aunque para el estudio se centre en los clientes de F-Secure, y por tanto en la propia capacidad del producto de detectar y clasificar correctamente los ataques, lo cierto es que todos los analistas han llegado a una conclusión muy parecida.

La tormenta perfecta

En general, a partir de 2006 en adelante, (quizás hasta 2010) las vulnerabilidades en los kits más populares atentaban contra Internet Explorer 6 y Adobe Reader. En los últimos años los kits se centran en Java y ocasionalmente en Internet Explorer cuando se encuentra algún fallo grave.

Otro fenómeno observado durante 2012 y 2013 es que los kits querían ser los primeros en incorporar vulnerabilidades de Java. Porque Java cumple todos los requisitos: es popular, los usuarios no suelen actualizarlo, y las vulnerabilidades son muy sencillas de aprovechar. En los últimos tiempos, se han descubierto numerosos fallos que no dependen de desbordamientos de búfer o complicados problemas en la máquina virtual, sino que se trataban de simples problemas en la lógica de funcionamiento. Esto ha convertido a Java en lo que es, el software preferido por los atacantes.

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario en la entrada