Con el patch Tuesday de este mes ya se han corregido 3 vulnerabilidades nuevas de tipo zero-day, pues bien, parece que el ritmo de este año sigue el camino del pasado 2021.
Desde el blog oficial de Google Project Zero se obtienen conclusiones muy interesantes, empezando por un total de 58 zero-days descubiertos que estaban siendo explotados activamente por atacantes. Esto supone un récord con respecto al número detectado en años anteriores y supone más del doble de los detectados en 2020.
La investigadora Maddie Stone realiza una aclaración muy importante respecto al número de zero-days detectados, y es que este número se refiere al total de exploits detectados y descubiertos siendo usados activamente en campañas maliciosas. Por ese motivo, los investigadores de Google creen que el importante aumento el año pasado se debe a la mejor capacidad de detectarlas, más que a un aumento del uso de estos exploits por parte de los atacantes.
Con respecto a los métodos y vectores de ataque usados por los atacantes, no se han observado cambios significativos respecto a años anteriores, ya que se siguen obteniendo buenos resultados utilizando técnicas de explotación conocidas y buscando las mismas superficies de ataque. Además, tras revisar los 58 zero-days se observa que la gran mayoría de ellos se aprovechan de vulnerabilidades similares a otras ya previamente conocidas, con tan solo dos zero-days usando técnicas novedosas.
Estos datos demuestran que hay un importante margen de mejora en la industria tecnológica para perfeccionar la detección de estas amenazas, incluyendo aspectos como que los desarrolladores de productos atacados compartan más información acerca de las vulnerabilidades que están siendo activamente explotadas, muestras de los exploits que están siendo usadas por los atacantes y mejorar los esfuerzos destinados a reducir las vulnerabilidades de corrupción de memoria.
Más detecciones y notificaciones
El equipo de investigadores de Google Project Zero ha querido hacer hincapié en el aumento de la capacidad de detección de este tipo de amenazas en los últimos dos años. No se trata únicamente de que haya aumentado el número de investigadores trabajando en la detección de exploits zero-day, sino que también se ha visto un incremento en el número de organizaciones que se han dedicado a notificarlos.
Así mismo, el número de desarrolladores y fabricantes de software que han detectado zero-days en sus productos también ha aumentado significativamente. Independientemente de que estuvieron trabajando en esta detección en años anteriores, los desarrolladores parece que han encontrado maneras de ser más efectivos en esta búsqueda durante 2021. Tal y como se observa en la siguiente gráfica, ha habido un incremento notable de zero-days siendo explotados activamente descubiertos por los fabricantes en sus productos, incluyendo 7 zero-days descubiertos por Google en sus productos y otros 10 descubiertos por la propia Microsoft.
El otro motivo principal que explicaría el aumento de sero-days detectados sería una mayor notificación de estas vulnerabilidades. Tanto Apple como Google Android empezaron a destacar las vulnerabilidades en sus boletines de seguridad que podrían estar siendo explotadas activamente en noviembre de 2020 y enero de 2021, respectivamente. Si esto no se hubiera producido, la única forma de enterarse de que un zero-day está siendo aprovechado activamente por atacantes es si el investigador que ha descubierto esta explotación lo revela, algo que no siempre sucede, puesto que muchos investigadores prefieren permanecer anónimos.
Además de la toda esta información, los investigadores de Google Project Zero han analizado los exploits zero-day que se han utilizado contra algunos de los sistemas operativos, aplicaciones o plataformas más destacados, por lo que se recomienda encarecidamente revisar su blog.
Conclusión
Este tipo de análisis resultan muy interesantes para ver la evolución de las técnicas usadas por los atacantes y revisar qué aspectos y posibilidades de mejora hay, tanto por parte de los desarrolladores de software como de las empresas de ciberseguridad que nos dedicamos a detectar estas amenazas. De esta forma, se consigue poner las cosas más difíciles a los atacantes y mantener nuestros sistemas y la información que contienen más seguros.
