Agencias/Ciudad de México.- El número de ‘exploits’ de día cero en estado salvaje disminuyó un 40 por ciento en 2022, pero los parches que corrigen las vulnerabilidad siguen tardando demasiado en llegar al usuario final, lo que hace que fallos conocidos acaben actuando como de día cero en la práctica.
El año pasado se detectaron y divulgaron 41 ‘exploits’ de día cero en estado salvaje, es decir, que estaban siendo utilizados sin control, una cifra que muestra una caída del 40 por ciento respecto de los ‘exploits’ detectados en 2021 (69)
Esta disminución, no obstante, no significa que haya mejorado la seguridad, sino que “la realidad es más complicada”, como matizan desde Google en una publicación del Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés), con motivo del nuevo informe anual de ciberseguridad centrado en los ‘exploits’ de día cero.
Más en detalle, se detectaron 20 ‘exploits’ en la primera mitad del año y 21 en la segunda, lo que sugiere que estas detecciones se realizan con mayor frecuencia y regularidad. Y destaca el hecho de que el número de organizaciones que contribuyen a la detección de este tipo de amenazas “se mantenga alta”, con 18, dos menos que en 2021.
Google señala que el número de ‘exploits’ de día cero en estado salvaje no dice nada sobre el estado de la seguridad. Sin embargo, destaca los factores que han podido contribuir tanto a mejorar como a empeorar dicha seguridad.
The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022 https://t.co/dUkuS0cIJL pic.twitter.com/TUw7PoEYHe
— Jim Rigney (@RigneySec) July 27, 2023
Así, Google entiende que la implementación de límites de seguridad en las plataformas, el mayor número de entidades que divulgan los ‘exploits’ de día cero y el descubrirlos y corregirlos rápidamente hacen que el ecosistema sea más seguro.
También afectarían positivamente a la seguridad el hecho de que hubiera menos vulnerabilidades de día cero explotables, que la creación de un nuevo ‘exploit’ de este tipo requiere a su vez una nueva técnica de explotación y que las nuevas vulnerabilidades requieren investigar nuevas superficies de ataque.
Por el contrario, si no se mitigan las técnicas de explotación, no se realizan análisis de variables en las vulnerabilidades informadas ni se incorporan más vulnerabilidades explotables al código corregido, la seguridad se ve afectada para mal.
También disminuyen la seguridad el tardar más en detectar un ‘exploit’ de día cero, que se tarde en preparar un parche para que los usuarios puedan instalar para corregir la vulnerabilidad o que los ciberdelincuentes utilicen ataques menos sofisticados que requieren menos esfuerzo.
El informe destaca también una caída del 42 por ciento en la cantidad de ‘exploits’ de día cero detectados para navegadores, que pasan de 26 en 2021 a 15 en 2022, algo que atribuyen a las mejoras en seguridad implementadas por los propios navegadores.
We need better #automated_debugging tools that help us find and explain the *actual* root cause of a bug! Over 40% of 0-days exploited in-the-wild are variants of known vulnerabilities.
//@MaddieStone @ https://t.co/ws34RQN2AU pic.twitter.com/OQi1y5anQU
— Marcel Böhme👨🔬 (@mboehme_) July 31, 2023
Google también se ha centrado en el problema que hay con la distribución de los parches, porque todavía tardan en llegar. Esto hace que una vulnerabilidad conocida acabe siendo en la práctica como una vulnerabilidad día cero, “porque el usuario no tiene ningún parche disponible y su única defensa es dejar de usar el dispositivo“.
En concreto, apunta al tiempo que tardan los vendedores en implementar la corrección desde el momento en que se descubre la vulnerabilidad, se crea el parche y se distribuye, incluyendo los análisis correspondientes a cada fase.
“Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y empresas”, señalan desde Google.
Debido a que las vulnerabilidades de día cero pueden adoptar muchas formas (como cifrado de datos faltantes, autorizaciones faltantes, algoritmos rotos, fallas, problemas con la seguridad de contraseñas, etc.), pueden ser muy difíciles de detectar. Debido a la naturaleza de este tipo de vulnerabilidades, la información detallada de los exploits de día cero solo está disponible una vez que se identifica el exploit.
Las organizaciones atacadas por un exploit de día cero pueden ver tráfico inesperado o una actividad de escaneo sospechosa que proviene de un cliente o servicio. Algunas técnicas de detección de día cero incluyen lo siguiente:
- Usar bases de datos de malware existentes y la forma en que se comportan como referencia. A pesar de que estas bases de datos se actualizan con mucha rapidez y pueden ser útiles como un punto de referencia, los exploits de día cero son nuevos y desconocidos por definición. Por lo tanto, existe un límite en la cantidad de información que puede brindar una base de datos existente.
- Alternativamente, algunas técnicas buscan características de malware de día cero según la forma en que interactúan con el sistema objetivo. En lugar de examinar el código de archivos entrantes, esta técnica examina sus interacciones con el software existente e intenta determinar si provienen de acciones maliciosas.
- El aprendizaje automático se usa cada vez más para detectar datos desde exploits antes detectados, a fin de establecer una base para una conducta segura de sistema según los datos de interacciones actuales y anteriores con el sistema. Mientras más datos haya disponibles, más confiable se vuelve la detección.
A menudo, se usa una combinación de distintos sistemas de detección.
Google's 2022 Year in Review of in-the-wild 0-days is out! 4 key takeaways:
🤖N-days function like 0-days on Android
⚡️0-clicks and new browser mitigations drive down browser 0-days
👯Over 40% of itw 0-days are variants
💥Bug collisions are high#itw0dayshttps://t.co/fFVUnWlmAF pic.twitter.com/bTkBF417XY— Maddie Stone (@maddiestone) July 27, 2023
