HP, a través del equipo de investigación de amenazas de HP Wolf Security, ha detectado un aumento en la capacidad de los ciberdelincuentes para aprovechar las vulnerabilidades de día cero ('zero day'), que exigen rapidez a las empresas para preparar un parche que evite que los equipos se vean comprometidos.
El equipo de investigación de amenazas de HP Wolf Security encontró pruebas de que los ciberdelincuentes están aumentando la capacidad de aprovechar vulnerabilidades de día cero, como muestra en el informe global HP Wolf Security Threat Insights, a partir de los datos de los millones de 'endpoints' que ejecutan HP Wolf Security, recogidos entre julio y septiembre de 2021.
Concretamente, la compañía cita el ataque 'zero day' CVE-2021-40444, una vulnerabilidad deejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office, registrada por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.
El 10 de septiembre, tres días después del boletín inicial de amenazas, el equipo de investigación de amenazas de HP observó que se compartían 'scripts' en la plataforma GitHub, diseñados para automatizar la creación de este 'exploit'.
Esta vulnerabilidad utiliza un archivo malicioso de un documento de Office que permite desplegar el 'malware'. El ataque no requiere ninguna acción por parte del usuario, ya que se inicia con ver el archivo en el panel de vista previa del explorador de archivos. Una vez comprometido el dispositivo, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse a grupos de 'ransomware'.
Desde HP señalan que a menos que sea parcheado, el 'exploit' permite a los delincuentes comprometer los dispositivos sin interacción del usuario. Y el tiempo de respuesta es importante. "El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta 'ventana de vulnerabilidad'", ha apuntado el responsable de HP Wolf Security, Melchor Sanz.
El directivo explica que este tipo de vulnerabilidad, inicialmente explotada por los 'hackers' altamente capacitados, en la actualidad son accesibles a un mayor número de actores con menos conocimientos y recursos, ya que las secuencias de comandos automatizadas han bajado el listón de entrada.
"Esto aumenta sustancialmente el riesgo para las empresas, ya que los 'exploits' o vulnerabilidades 'zero day' se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos", indica Sanz.
Fuente EP.