El Grupo de Inteligencia de Amenazas de Google (GTIG) revela que 75 vulnerabilidades de día cero fueron explotadas en la naturaleza en 2024, destacando tanto las tácticas de atacantes en evolución como los objetivos cambiantes para el panorama mundial de seguridad cibernética.
Esta cifra disminuye desde la fecha de 98 cero observada en 2023, pero representa un aumento significativo de los 63 rastreados en 2022, destacando la amenaza persistente y creciente.
Surge de ataque empresarial, navegador
La explotación se dirige cada vez más a la tecnología centrada en la empresa como el 44% de los días cero en 2024 en 2024 impactando los productos empresariales, en comparación con el 37% en 2023.
“Los atacantes se dirigen intencionalmente a productos que pueden proporcionar un amplio acceso y reducir las oportunidades de detección”, explica el informe de GTIG.
Los productos de seguridad y red se han convertido en objetivos particularmente atractivos, lo que representa el 60% de la explotación de días cero empresariales.
Microsoft Windows sigue siendo la plataforma más explotada para 22 días cero en 2024, continuando su trayectoria ascendente de 13 en 2022, debido a 16 vulnerabilidades en 2023.
Mientras tanto, los objetivos tradicionales, como los navegadores y los dispositivos móviles, han reducido significativamente la explotación, y las vulnerabilidades del navegador disminuyen de 17 a 11, y las vulnerabilidades móviles cayeron de 17 a 9 en comparación con el año anterior.
Cómo explotar
Este informe destaca tres tipos principales de vulnerabilidad: después de su uso (8 casos), inyección de comando (8 casos) y secuencias de comandos de sitios cruzados (XSS) (6 casos).
Estas vulnerabilidades permiten principalmente la ejecución del código remoto y los ataques de escalada de privilegios, que representan más de la mitad del total de exploits rastreados.
Entre las hazañas más sofisticadas documentadas se encontraban la cadena de exploits WebKit (CVE-2024-44308, CVE-2024-44309) dirigida a los usuarios de MacOS de hardware Intel.
El ataque fue descubierto en un sitio web diplomático ucraniano comprometido y específicamente en las cookies de Login.Microsoftonline.com.
Utilizando la vulnerabilidad de Firefox CVE-2024-9680 y Windows privilegia la vulnerabilidad de la escalada CVE-2024-49039 combinada con otra cadena de exploites importante, los atacantes pueden mejorar de baja integridad a los privilegios del sistema al aprovechar las debilidades del programador de tareas de Windows.
El análisis de atribución revela que los espinistas siguen siendo los principales usuarios de exploits de día cero, responsables del 53% de los ataques.
Los actores de la República Popular de China (PRC) y el estado de Corea del Norte explotaron cinco días cero, mientras que los vendedores de vigilancia comercial (CSV) estaban vinculados a ocho hazañas.
“Los grupos de Corea del Norte son conocidos por su alcance superpuesto, tácticas, técnicas y procedimientos que muestran cómo los diferentes conjuntos de intrusos pueden respaldar el funcionamiento de otros grupos de actividades y combinar el soporte tradicional para financiar el régimen”, dice el informe.
GTIG advierte que la explotación de día cero es probable que continúe aumentando con el tiempo, ya que el software y los electrodomésticos empresariales están más dirigidos.
El informe recomienda que las organizaciones implementen los fundamentos de fideicomiso cero que incluyen acceso mínimo y segmentación de red, pero los proveedores deben priorizar las prácticas de codificación seguras y las mejoras arquitectónicas.
“La explotación de día cero está determinada en última instancia por las decisiones de los proveedores y la capacidad de contrarrestar los objetivos y actividades de los actores de amenazas”, concluye el informe, destacando el papel clave que juegan las medidas de seguridad agresivas para mitigar estas amenazas sofisticadas.
A medida que los atacantes diversifican sus objetivos y técnicas, los proveedores y organizaciones deben adaptarse rápidamente para mitigar los riesgos planteados por estas amenazas sofisticadas.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
