Con nuestro resumen de amenazas de 2014 recién publicado, hoy nos gustaría compartir la investigación que hemos realizado en ESET sobre la explotación de vulnerabilidades en Windows durante 2014. Este informe contiene información interesante sobre las vulnerabilidades en sistemas Windows y aplicaciones de Office de Microsoft parcheadas durante el año pasado, ataques drive-by download y las técnicas de mitigación utilizadas.
Este informe incluye la siguiente información:
- Vulnerabilidades descubiertas y parcheadas en Microsoft Windows y Office
- Estadísticas sobre vulnerabilidades parcheadas y cómo se comparan con los números de 2013
- Descripciones detalladas de los vectores de explotación
- Vulnerabilidades que fueron explotadas “in-the-wild”, incluyendo una tabla específica mostrando las que evadieron la medida de protección ASLR.
- Técnicas de explotación y mitigación del navegador web de Microsoft, Internet Explorer (IE)
El año pasado observamos como se utilizaron muchos exploits para ataques drive-by download, que se utilizan para instalar malware de forma transparente al usuario. El informe de ESET informe contiene información detallada sobre la naturaleza de estos ataques y cómo Microsoft mejoró Internet Explorer para intentar que sean bloqueados por defecto.
En la primera imagen que mostramos a continuación se puede observar que Microsoft solucionó la mayoría de las vulnerabilidades en Internet Explorer. Prácticamente todas pertenecen al tipo de ejecución remota de código, lo que significa que pueden ser usadas para realizar ataques drive-by download.
Esta imagen incluye información sobre vulnerabilidades en IE, el driver que maneja la interfaz gráfica de Windows, los drivers del kernel, el framework .NET, y los componentes del perfil de usuario de Windows y en Office.
La siguiente imagen muestra información sobre actualizaciones lanzadas para los productos mencionados. Hemos identificado una tendencia de explotación distintiva para cada una. Por ejemplo, es obvio que los drive-by download constituyen la mayoría de los ataques en IE, porque las actualizaciones se lanzaron para solucionar vulnerabilidades de ejecución remota de código usadas por los atacantes para instalar malware remotamente. Los drivers de Windows, incluyendo win32k.sys, pueden ser usados para la elevación local de privilegios.
Por otro lado, este informe incluye una sección específica describiendo técnicas de mitigación introducidas por Microsoft durante el año pasado, cubriendo Windows, Internet Explorer y la herramienta EMET. Estos medidas de seguridad adicionales se ocupan de diversos tipos de ataques.
Por ejemplo, una funcionalidad incluida en IE llamada Out-of-date ActiveX control blocking es útil para bloquear exploits basándose en vulnerabilidades en versiones anteriores del plugin de Java de Oracle. Además, observamos ataques de elevación de privilegios local (LPE por sus siglas en inglés), que son usados por los cibercriminales para evadir el sandbox del navegador o ejecutar código no autorizado introducido por el malware en el kernel.
Durante 2014, Microsoft solucionó un número mucho más pequeño de vulnerabilidades para win32k.sys que en 2013, tal como podemos apreciar en el informe anterior de Aprovechamiento de vulnerabilidades de Windows en 2013. Desafortunadamente, este driver es actualmente una de las mayores fuentes de vulnerabilidades de ese tipo y es usado frecuentemente por los atacantes.
Los invitamos a leer el informe completo de explotación de vulnerabilidades en Windows durante 2014 (próximamente en español) y a dejarnos su opinión.
Créditos imagen: ©Kevin Dooley/Flickr
Josep Albors a partir de un artículo de ESET Research en WeLiveSecurity