Según Google Project Zero, en 2021 se detectó el mayor número de 0-days siendo explotados activamente

La amenaza que suponen los exploits 0-day siendo aprovechados activamente por atacantes no ha dejado de crecer en los últimos años, según acaba de confirmar el equipo de Google Project Zero. Estas amenazas son especialmente peligrosas, puesto que aprovechan agujeros de seguridad que no disponen de su parche correspondiente y pueden ser usadas tanto en ataques dirigidos como de forma masiva.

2021, un año de récord

En el reciente post publicado en el blog oficial de Google Project Zero por la investigadora Maddie Stone se obtienen conclusiones muy interesantes, empezando por un total de 58 0-days descubiertos que estaban siendo explotados activamente por atacantes. Esto supone un récord con respecto al número detectado en años anteriores y supone más del doble de los detectados en 2020.

La investigadora realiza una aclaración muy importante respecto al número de 0-days detectados, y es que este número se refiere al total de exploits detectados y descubiertos siendo usados activamente en campañas maliciosas. Por ese motivo, los investigadores de Google creen que el importante aumento el año pasado se debe a la mejor capacidad de detectarlas, más que a un aumento del uso de estos exploits por parte de los atacantes.

Con respecto a los métodos y vectores de ataque usados por los atacantes, no se han observado cambios significativos respecto a años anteriores, ya que se siguen obteniendo buenos resultados utilizando técnicas de explotación conocidas y buscando las mismas superficies de ataque. Además, tras revisar los 58 0-days se observa que la gran mayoría de ellos se aprovechan de vulnerabilidades similares a otras ya previamente conocidas, con tan solo dos 0-days usando técnicas novedosas.

Esto datos demuestran que hay un importante margen de mejora en la industria tecnológica para perfeccionar la detección de estas amenazas, incluyendo aspectos como que los desarrolladores de productos atacados compartan más información acerca de las vulnerabilidades que están siendo activamente explotadas, muestras de los exploits que están siendo usadas por los atacantes y mejorar los esfuerzos destinados a reducir las vulnerabilidades de corrupción de memoria.

Más detecciones y notificaciones

El equipo de investigadores de Google Project Zero ha querido hacer hincapié en el aumento de la capacidad de detección de este tipo de amenazas en los últimos dos años. No se trata únicamente de que haya aumentado el número de investigadores trabajando en la detección de exploits 0-day, sino que también se ha visto un incremento en el número de organizaciones que se han dedicado a notificarlos.

Así mismo, el número de desarrolladores y fabricantes de software que han detectado 0-days en sus productos también ha aumentado significativamente. Independientemente de que estuvieron trabajando en esta detección en años anteriores, los desarrolladores parece que han encontrado maneras de ser más efectivos en esta búsqueda durante 2021. Tal y como se observa en la siguiente gráfica, ha habido un incremento notable de 0-days siendo explotados activamente descubiertos por los fabricantes en sus productos, incluyendo 7 0-days descubiertos por Google en sus productos y otros 10 descubiertos por la propia Microsoft.

El otro motivo principal que explicaría el aumento de 0-days detectados sería una mayor notificación de estas vulnerabilidades. Tanto Apple como Google Android empezaron a destacar las vulnerabilidades en sus boletines de seguridad que podrían estar siendo explotadas activamente en noviembre de 2020 y enero de 2021, respectivamente. Si esto no se hubiera producido, la única forma de enterarse de que un 0-day está siendo aprovechado activamente por atacantes es si el investigador que ha descubierto esta explotación lo revela, algo que no siempre sucede, puesto que muchos investigadores prefieren permanecer anónimos.

Además de la toda esta información, los investigadores de Google Project Zero han analizado los exploits 0-day que se han utilizado contra algunos de los sistemas operativos, aplicaciones o plataformas más destacados, por lo que se recomienda encarecidamente revisar su blog.

Conclusión

Este tipo de análisis resultan muy interesantes para ver la evolución de las técnicas usadas por los atacantes y revisar qué aspectos y posibilidades de mejora hay, tanto por parte de los desarrolladores de software como de las empresas de ciberseguridad que nos dedicamos a detectar estas amenazas. De esta forma, se consigue poner las cosas más difíciles a los atacantes y mantener nuestros sistemas y la información que contienen más seguros.

Josep Albors

El sitio web de REvil vuelve estar activo y podrían estar preparándose nuevas acciones en su nombre