Ataques Watering Hole Realizados Aprovechando Vulnerabilidades del Día Cero – Certsuperior
55 5985 - 5000
Av. Santa Fe no. 170, Col. Lomas de Santa Fe,CP. 01210
Ataques Watering Hole Realizados Aprovechando Vulnerabilidades del Día Cero – Certsuperior
CertSuperior Banner

Ataques Watering Hole Realizados Aprovechando Vulnerabilidades del Día Cero

La actividad de los hackers a sueldo apodados «Hidden Lynx» se detectó en septiembre de 2013, pero en 2014 el grupo aprovechó una vulnerabilidad de día cero bastante grave (CVE-2014-0332) para lanzar un ataque watering hole. Mientras el ataque permaneció activo, en todos los equipos que visitaban el sitio web afectado se abría una puerta trasera que permitía robar información o hacer ataques posteriores.
El sector aeroespacial francés y varios sitios web japoneses también sufrieron ataques watering hole debido a otra vul- nerabilidad de día cero (CVE-2014-1776), aunque en este caso no creemos que Hidden Lynx estuviera involucrado (ver artículo relacionado).
Otro ataque watering hole aprovechó una vulnerabilidad de día cero de Adobe Flash (CVE-2014-0515) para atacar a quienes usaban otro programa de un fabricante legítimo. Las víctimas solo sucumbían al ataque si tenían instalados tanto Flash como el otro programa, lo que indica que habían sido cuidadosamente elegidas.
En otro caso, el grupo de ciberespionaje Sandworm aprovechó una vulnerabilidad de Microsoft Windows sin detectar para instalar malware en organizaciones como la OTAN, en varios gobiernos (el de Ucrania y los de varios países occidentales) y en empresas energéticas y de telecomunicaciones.

Vulnerabilidades de día cero

dia cero vulnerabilidades
 
Descargar el Informe de Symantec
 
La plataforma Elderwood, identificada en 2012, aún sigue en activo. A principios de 2014, aprovechó tres nuevas vulnerabilidades de día cero para atacar (ver fuente).
En 2014, se descubrieron 24 vulnerabilidades de día cero (prácticamente las mismas que en 2013, año en el que se batió una cifra récord). Aunque esto indique una cierta estabilización en el número de vulnerabilidades detectadas y explotadas, podría haber muchas más sin descubrir que solo los atacantes conocen.
Para los atacantes, poder aprovechar una vulnerabilidad es importante por dos motivos. En primer lugar, las vulnerabi- lidades que aún no se han hecho públicas tienen muchísimo valor si pueden emplearse para obtener acceso remoto o para reconocer el terreno antes de un ataque. En segundo lugar, una vulnerabilidad puede reportar sustanciosos bene- ficiosos aunque el fabricante ya sepa que existe. Pueden pasar días, semanas o meses hasta que se hace pública una solución, e incluso más tiempo hasta que se adopta de forma generalizada.
En el caso de las cinco vulnerabilidades de día cero más explotadas que fueron noticia en 2014, el plazo total transcurrido entre la fecha en que el fabricante hizo pública la vulnerabilidad y la publicación de una revisión fue de 295 días, frente a los 19 de 2013. Las revisiones tardaron una media de 59 días en aplicarse desde la fecha de publicación, en comparación con los cuatro que se había tardado en 2013. La vulnerabilidad de día cero más explotada en 2014, CVE-2013-7331, ya se había detectado y clasificado en 2013, pero no se divulgó hasta el año siguiente y el fabricante tardó otros 204 días en publicar una revisión. Las revisiones para la segunda y la tercera vulnerabilidades de día cero más explotadas también se hicieron esperar bastante (22 y 53 días, respectivamente; más que la media del año anterior).
El periodo de exposición es algo que tienen muy en cuenta los grupos de ataque dedicados al espionaje. Por ejemplo, un sitio web utilizado para lanzar un ataque watering
hole puede dejar de aprovechar una vulnerabilidad de día cero en cuanto el fabricante del software afectado la hace pública (aunque aún no exista una revisión para solucionarla). Los atacantes tienen tantos recursos a su disposición que, en lugar de seguir aprovechando una vulnerabilidad ya conocida, es posible que prefieran explotar otra que aún no se ha descubierto.

Datos sobre las cinco principales vulnerabilidades de día cero (tiempo necesario para publicar una solución y porcentaje de ataques realizados tras añadirse una firma)

Principales Vulnerabilidades Dia Cero
En el caso de las cinco vulnerabilidades de día cero más explotadas, el periodo entre la fecha en que el fabricante hizo pública la vulnerabilidad y la publicación de una revisión fue de 295 días (en 2013, había sido de 19 días). La tecnología de protección de terminales de Symantec logró bloquear el 57 % de los ataques realizados aprovechando estas cinco vulnerabilidades en los primeros 90 días, incluso antes de que se hiciera pública una solución.

Vulnerabilidades Día Cero 2006-2014

vulnerabilidades dia cero 2006 2014
En 2014, se alargó el periodo de exposición a las vulnerabilidades de día cero más explotadas (el plazo transcurrido entre el momento en que se hace pública la vulnerabilidad y la fecha en que se facilita una revisión). Las vulnerabilidades CVE-2014-0322, CVE-2014- 0515 y CVE-2014-4114 se aprovecharon para realizar ataques dirigidos, algunos de ellos relacionados con Hidden Lynx y Sandworm.
 
Descargar el Informe de Symantec
 
Symantec Informe de Seguridad