Ataques 0-Day y Office son el principal vector de ataque "moderno"

Según Kasperksy, en dos años el panorama de los tipos de ataque ha cambiado sustancialmente. Si bien en 2013 la inmensa mayoría de los ataques a usuarios comenzaban por una vulnerabilidad en Java (que se encontraban prácticamente a diario); para luego pasar a un acoso y derribo a través de otros tantos fallos en Flash; a finales de 2016 y hasta 2018 el enfoque ha cambiado de nuevo.

• En 2016 el 45% de los ataques se perpetraban a través de navegadores. La seguridad en ellos (técnicas de sandboxing, principalmente) ha mejorado hasta reducirlos a un 14% a finales de 2018.
• Si bien hubo un momento en que explotar Adobe a través de ficheros PDF era muy común, a finales de 2018 este tipo de ataques ha desaparecido (según Kaspersky).
• Los ataques a Flash se reducen de un 13% a un 1%.
• Java mantiene un 3% de los ataques en 2018.

Y sin duda, lo más relevante es que los ataques perpetrados a través de Office han pasado de un 16% a un 70%. Campañas como las de EMOTET, u otros ataques más sofisticados han aprovechado fallos y vulnerabilidades en Office (en especial las famosas relativas al sistema de edición de ecuaciones, CVE-2017-11882 y CVE-2018-0802). Esto, unido al auge de los ataques a través de macros, que permiten con PowerShell sofisticados movimientos sin tocar disco, ha hecho que este vector de ataque sea hoy por hoy el más popular y efectivo para que los atacantes encuentren la infección inicial en el sistema.

La verdadera definición de 0-day implica que la vulnerabilidad ha sido descubierta mientras está siendo aprovechada por atacantes. Esto es habitualmente, en un malware que aproveche el fallo, como caso más común. Encontrar un fallo por parte de un analista o investigador y hacerlo público, no es un 0-day estrictamente hablando. En este aspecto, destacan en los últimos meses especialmente los 0-days reales que se están popularizando para Windows, una buena parte relacionados con la elevación de privilegios.

En los últimos tiempos, elevar privilegios en Windows es un objetivo fundamental de los atacantes. Eso no significa eludir UAC (que es relativamente sencillo) sino pasar de usuario raso real a usuario con privilegios de administrador. Es precisamente en estos fallos en el kernel en los que parece que se están concentrando los atacantes. Se han descubierto en los últimos siete meses:

• En abril de 2019: CVE-2019-0803, CVE-2019-0685 y CVE-2019-0859, este último descubierto en malware.
• Marzo 2019: CVE-2019-0808 y  CVE-2019-0797, descubierto en malware.
• Febrero de 2019: CVE-2019-0628.
• Enero 2019, ningún fallo corregido en este sentido.
• Diciembre de 2018: CVE-2018-8611, descubierto en malware.
• Noviembre 2018:  CVE-2018-8565.
• Octubre de 2018: CVE-2018-8453 descubierto en malware.
• Julio de 2018: CVE-2018-8174 explotación en VBScript

Las vulnerabilidades descubiertas ya siendo aprovechadas por malware (5 de los 9 fallos de elevación corregidos en los últimos 7 meses) dan una idea de la línea de investigación en la que se están centrando los creadores del malware más sofisticado en los últimos tiempos.

Fuente: Kaspersky