• Home /

  • Ciberseguridad /

  • Los ciberdelincuentes están aumentando su capacidad para aprovechar vulnerabilidades Zero Day, según HP

Los ciberdelincuentes están aumentando su capacidad para aprovechar vulnerabilidades Zero Day, según HP

Alberto Payo

Periodista

Guardar

Concept on Penetration testing
Concept on Penetration testing

El equipo de ciberseguridad de HP ha publicado la última edición de su informe global HP Wolf Security Threat Insights en el que se ponen de manifiesto los ataques de ciberseguridad y técnicas más comunes utilizadas por los ciberdelincuentes en los últimos meses, evadiendo en muchos casos las herramientas de detección.

El equipo de investigación de amenazas de HP Wolf Security ha podido constatar que los ciberdelincuentes están incrementando la capacidad de aprovechar vulnerabilidades zero day.

En concreto, el ataque zero day CVE 2021-40444 -una vulnerabilidad de ejecución remota de código que posibilita la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office- fueron registrados por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.

Tres días después del boletín inicial de amenazas, el 10 de septiembre, el equipo de investigadores de HP notó cómo se compartían scripts en GitHub diseñados para poder crear automáticamente este exploit. Si no es parcheado este puede comprometer los dispositivos sin interacción del usuario.

La vulnerabilidad se sirve de un archivo malicioso de un documento de Office con el que se puede desplegar el malware. Solo con verlo en el panel de vista previa del explorador de archivos ya se inicia el ataque. No es necesario abrir el archivo siquiera. Cuando el dispositivo se ha comprometido los atacantes pueden instalar puertas traseras en los sistemas.

El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta ’ventana de vulnerabilidad’. Si bien al principio sólo podían aprovechar esta vulnerabilidad los hackers altamente capacitados, las secuencias de comandos automatizadas han bajado el listón de entrada, haciendo que este tipo de ataque sea accesible a actores con menos conocimientos y recursos", explica Melchor Sanz, responsable de HP Wolf Security.

"Esto aumenta sustancialmente el riesgo para las empresas, ya que los exploits o vulnerabilidades zero day se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos. Estos nuevos exploits tienden a ser eficaces a la hora de evadir las herramientas de detección porque las firmas pueden ser imperfectas y quedar obsoletas rápidamente a medida que cambia la comprensión del alcance de un exploit", añade el experto.

Otras amenazas significativas

El informe también destaca otras amenazas notables, como el uso de plataformas legítimas como OneDrive para evadir los sistemas de detección y pasar las pruebas de listas blancas. hasta hallaron varias familias de malware alojadas en Discord.

En HP también descubrieron que el malware de JavaScript se escapa de las herramientas de detección, con una campaña de propagación de varias RATs de JavaScript distribuidas a través de archivos adjuntos de correo electrónico.

Asimismo, encontraron una campaña dirigida que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda. Los atacantes utilizaron la técnica de 'typosquatting' -utilizando una dirección web falsa similar a un nombre de dominio oficial- para atraer a los objetivos a un sitio que descarga un documento de Word malicioso.

Por otro lado, el cambio a archivos HTA puede propagar el malware con un solo clic: El troyano Trickbot se distribuye ahora a través de archivos HTA (aplicación HTML), que despliegan el malware en cuanto se abre el archivo adjunto que lo contiene. Al ser un tipo de archivo poco común, es menos probable que las herramientas detecten los archivos HTA maliciosos.

No podemos seguir confiando sólo en la detección. El panorama de las amenazas es demasiado activo y, como podemos ver en el análisis de las amenazas capturadas en nuestras máquinas virtuales, los atacantes son cada vez más hábiles para evadir la detección”, comenta el Dr. Ian Pratt, Jefe Global de Seguridad para Sistemas Personales de HP.

Las organizaciones deben adoptar un enfoque por capas para garantizar la seguridad de los dispositivos, siguiendo los principios de zero trust para contener y aislar los vectores de ataque más comunes como el correo electrónico, los navegadores y las descargas. Esto eliminará la superficie de ataque, a la vez que dará a las organizaciones el respiro necesario para coordinar los ciclos de prevención y resolución de forma segura sin interrumpir los servicios", apostilla.