Exige la rapidez a las empresas para preparar un parche que evite que los equipos se vean comprometidos.

Los ciberdelincuentes aumentan la capacidad de aprovechar vulnerabilidades de día cero

Noticia

HP, a través del equipo de investigación de amenazas de HP Wolf Security, ha detectado un aumento en la capacidad de los ciberdelincuentes para aprovechar las vulnerabilidades de día cero ('zero day').

Ciberseguridad_ciberamenazas_imagen.

El equipo de investigación de amenazas de HP Wolf Security encontró pruebas de que los ciberdelincuentes están aumentando la capacidad de aprovechar vulnerabilidades de día cero, como muestra en el informe global HP Wolf Security Threat Insights, a partir de los datos de los millones de 'endpoints' que ejecutan HP Wolf Security, recogidos entre julio y septiembre de 2021.

Concretamente, la compañía cita el ataque 'zero day' CVE-2021-40444, una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office, registrada por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.

El 10 de septiembre, tres días después del boletín inicial de amenazas, el equipo de investigación de amenazas de HP observó que se compartían 'scripts' en la plataforma GitHub, diseñados para automatizar la creación de este 'exploit'.

Esta vulnerabilidadutiliza un archivo malicioso de un documento de Office que permite desplegar el 'malware'. El ataque no requiere ninguna acción por parte del usuario, ya que se inicia con ver el archivo en el panel de vista previa del explorador de archivos. Una vez comprometido el dispositivo, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse a grupos de 'ransomware'.

Desde HP señalan que a menos que sea parcheado, el 'exploit' permite a los delincuentes comprometer los dispositivos sin interacción del usuario. Y el tiempo de respuesta es importante. "El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta 'ventana de vulnerabilidad'", ha apuntado el responsable de HP Wolf Security, Melchor Sanz.

El directivo explica que este tipo de vulnerabilidad, inicialmente explotada por los 'hackers' altamente capacitados, en la actualidad son accesibles a un mayor número de actores con menos conocimientos y recursos, ya que las secuencias de comandos automatizadas han bajado el listón de entrada.

"Esto aumenta sustancialmente el riesgo para las empresas, ya que los 'exploits' o vulnerabilidades 'zero day' se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos", indica Sanz.

OTRAS AMENAZAS NOTABLES

El equipo de HP Wolf Security ha identificado un aumento de los ciberdelincuentes que utilizan proveedores legítimos de la nube y de la web para alojar 'malware', como en una reciente campaña de GuLoader, que alojaba el troyano de acceso remoto (RAT) Remcos en plataformas como OneDrive para evadir los sistemas de detección y pasar las pruebas de listas blancas.

Asimismo, detectaron una campaña de propagación de varias RAT de JavaScript que se distribuyen a través de archivos adjuntos de correo electrónico. Los ficheros descargados de JavaScript tienen un índice de detección más bajo que los de Office o los binarios.

También encontraron una campaña dirigida que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda, que utilizaba la técnica de 'typosquatting' -utilizando una dirección web falsa similar a un nombre de dominio oficial- para atraer a los objetivos a un sitio que descarga un documento de Word malicioso.

Otra de las amenzas detectadas se refiere la propagación de 'malware' con un solo clic con archivos HTA (aplicación HTML). Un ejemplo es el troyano Trickbot, que despliega el malware en cuanto se abre el archivo adjunto que lo contiene. Al ser un tipo de archivo poco común, es menos probable que las herramientas detecten los archivos HTA maliciosos.