Los atacantes aceleran la incorporación de vulnerabilidades recientes en sus kits

ElevenPaths  1 octubre, 2013
F-Secure ha publicado su reporte sobre amenazas que cubre la
primera mitad de 2013. En el estudio (además de una espectacular tercera página
de su Chief Research Office, Mikko, en
alta resolución) se refleja la experiencia de la casa antivirus durante estos
seis meses detectando amenazas y tendencias. Uno de los datos más interesantes
son los relativos a las vulnerabilidades utilizadas
, y cuándo están siendo incorporadas
a los kits de los atacantes.
Los kits de explotación siguen siendo, desde hace varios
años, el método más efectivo para infectar los sistemas. Otras formas de
infectar como el envío de correos con ejecutables o documentos que aprovechan vulnerabilidades
son muy usados, pero menos eficaces. La mayor parte de las veces, basta con mantener el sistema
actualizado para permanecer relativamente a salvo.
Aunque, ante ataques desconocidos o no
parcheados oficialmente, es necesario utilizar herramientas adicionales que
protejan contra las técnicas de exploiting más habituales.
Los kits de explotación web son un negocio floreciente. Se han creado unos 8 ó 10 este año. Sin embargo Blackhole, Cool, CrimeBoss,Styx y SweetOrange copan tres cuartas partes del “mercado”. Como
producto, necesitan incorporar reclamos para sus posibles clientes. Factores
como la usabilidad y precio influyen, pero si un usuario de un kit necesita
rentabilizar su inversión quiere resultados. Y para ello necesita
vulnerabilidades “de calidad” que funcionen en la mayoría de las
potenciales víctimas. Cuanto más recientes las vulnerabilidades y en un
software más popular, más víctimas potenciales. Así durante 2013 se ha
observado una tendencia clara: estos exploits cada vez se incorporan antes a
los kits.
Por ejemplo, el 20 de abril se publicó en Metasploit el
código para explotar CVE-2013-2423. Un día más tarde ya estaba
siendo aprovechado por el kit CrimeBoss. CVE-2013-1347 es un fallo grave en Internet
Explorer con la que se comprometió una organización gubernamental americana en mayo. En
junio, poco después de que Microsoft publicara el parche, se estaba ya usando
en el kit Private. Así, durante este primer semestre ya se han incorporado a la
mayoría de kits vulnerabilidades de este mismo año: CVE-2013-0422 (Java en
enero), CVE-2013-0431 (Java en febrero), CVE-2013-1493 (Java en marzo) y
CVE-2013-2423 (Java también en marzo).
Top 5

Y cuando los atacantes disponen de vulnerabilidades recientes,
fiables y populares, la explotación se centra en lo eficaz y se segmenta muy poco. Así,
durante el primer semestre de 2013, cinco vulnerabilidades fueron responsables
del 95% de los incidentes relacionados con fallos de seguridad
(sufridos por los clientes de F-Secure). Y
de ellas, 4 corresponden a Java y una a Windows:
F-Secure 1H2013 report
  • CVE-2011-3402: 
    Aprovechada por Duqu a finales de 2011, un fallo a procesar fuentes
    TrueType en Windows. Efectiva y que da privilegios al atacante.
  • Las mencionadas: CVE-2013-1493, CVE-2011-2423, CVE-2013-0422 y CVE-2011-3544,
    un problema en Java en octubre 2011.

Aunque para el estudio se centre en los clientes de F-Secure, y por tanto en la propia capacidad del producto de detectar y clasificar correctamente los ataques, lo cierto es que todos los analistas han llegado a una conclusión muy parecida.
La tormenta perfecta

En general, a partir de 2006 en adelante, (quizás hasta 2010) las vulnerabilidades en los kits más populares atentaban contra Internet Explorer 6 y Adobe Reader. En los últimos años los kits se centran en Java y ocasionalmente en Internet Explorer cuando se encuentra algún fallo grave.

Otro fenómeno observado durante 2012 y 2013 es
que los kits querían ser los primeros en incorporar 
vulnerabilidades de Java.
Porque Java cumple todos los requisitos: es popular, los usuarios no suelen
actualizarlo, y las 
vulnerabilidades son muy sencillas de aprovechar. En los
últimos tiempos, se han descubierto numerosos fallos que no dependen de
desbordamientos de búfer o complicados problemas en la máquina virtual, sino
que se trataban de simples problemas en la lógica de funcionamiento. Esto ha
convertido a Java en lo que es, el software preferido por los atacantes.


Sergio de los Santos
ssantos@11paths.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *