¿Qué es un exploit de día cero?

¿Qué es un exploit de día cero?

Un exploit de día cero se refiere a los ciberataques que apuntan a la vulnerabilidad del software desconocida para el proveedor de software o software antivirus asignado para proteger el sistema. Los criminales pueden identificar las vulnerabilidades de día cero, diseñar un exploit y utilizarlo para lanzar un ataque. Los ataques de día cero tienen altas probabilidades de penetrar en la red deseada ya que no existen defensas contra la nueva amenaza (porque han transcurrido “cero días” desde que los entes de seguridad detectaron la vulnerabilidad).

Esto convierte a los ataques de día cero en amenazas de seguridad relevantes.

Por lo general, los ataques de día cero dependen de los navegadores web y los adjuntos de correo electrónico para explotar vulnerabilidades en la aplicación específica que abre dichos ficheros o en tipos de archivo específicos: Word, PDF, Excel, Flash, etc. Una vez que un malware de día cero ingresa en el sistema, puede propagarse rápidamente a todas las áreas de destino.

Las vulnerabilidades de día cero asumen diversos formatos. Los cibercriminales pueden aprovecharse de algoritmos defectuosos, seguridad de contraseña deficiente, un firewall de aplicación web con problemas, autorizaciones faltantes, componentes de código abierto sin protección y más para iniciar un ataque de inyección SQL. Si el ataque tiene éxito, puede comprometer otros software en la red objetivo, robar información sensible, retener datos para pedir rescate por grandes sumas de dinero, intentar robo de identidad, corromper el sistema operativo de la compañía y más.

Las vulnerabilidades de día cero son valiosas para numerosas partes. Es por esta razón que existe un mercado dedicado a contratar personal de investigación para descubrir vulnerabilidades. Además de este “mercado blanco”, existen mercados negros y grises, en donde agentes malintencionados pueden intercambiar información sobre una vulnerabilidad de día cero sin conocimiento público.

Los objetivos comunes de los exploits de día cero son grandes organizaciones, agencias de gobierno, individuos con acceso a archivos críticos (como propiedad intelectual), dispositivos de hardware, Internet de las cosas (IoT), firmware, usuarios locales que utilizan un sistema vulnerable (en caso de infectarse pueden transformarse en engranajes de una botnet) y más. En ocasiones, las agencias de gobierno utilizan los exploits de día cero para atacar países, organizaciones o terceros que amenacen la seguridad nacional.

Por lo general, cuando un individuo (o equipo de seguridad) detecta un software portador de potenciales vulnerabilidades de seguridad, procederá a dar aviso a los proveedores de software para que puedan idear un parche que corrija dicha vulnerabilidad.

Con tiempo suficiente, los desarrolladores de software pueden corregir el problema y distribuir los parches (o actualizaciones de software) para que todos los usuarios del software puedan aplicarlos tan pronto como sea posible. Si los agentes malintencionados toman conocimiento de la vulnerabilidad, diseñar un exploit y lanzar un ataque podría tardar cierto tiempo. Mientras tanto, con suerte el parche estará listo y disponible para implementarse.

Los hackers pueden ser los primeros en descubrir un eslabón débil en un programa de software. Dado que los proveedores y equipos de seguridad no se han enterado de la vulnerabilidad aún, prácticamente cuentan con cero días para desarrollar una defensa en contra de un ataque dirigido. Las compañías vulnerables ante tales exploits pueden iniciar procedimientos de detección temprana para resguardar sus redes.

Los investigadores de seguridad especializados a menudo intentan cooperar con los proveedores de software y generalmente aceptan retener la información sobre una vulnerabilidad de día cero durante un periodo extendido antes de publicar dichos detalles.

Cuando una vulnerabilidad es de conocimiento público, se le denomina vulnerabilidad de “día n” o “día uno”.

A continuación, mostramos varios ejemplos de ataques de día cero en años recientes.

• Stuxnet

Un gusano informático malicioso que apunta a las vulnerabilidades de día cero en sistemas de supervisión y adquisición de datos (SCADA) infiltrándose en primer lugar en los sistemas operativos de Windows. Stuxnet aprovechó cuatro vulnerabilidades de día cero de Windows para propagarse mediante unidades USB corruptas. De esta manera, el gusano infectó sistemas Windows y SCADA sin iniciar un ataque de red.

Stuxnet atacó ordenadores utilizados para gestionar proceso de fabricación en Irán, India e Indonesia. Se suponía que el objetivo principal era las plantas de enriquecimiento de uranio en Irán. Un ataque dirigido a estas instalaciones pretendía interrumpir el programa nuclear del país. Una vez infectados, los controladores lógicos programables (PLC) en los ordenadores objetivo ejecutaron comandos imprevistos en la maquinaria de línea de montaje, causando un desperfecto en las centrífugas utilizadas para producir el material nuclear.

• Ataques de día cero de Sony

Sony Pictures fue víctima de un exploit de día cero al término del 2014. Un exploit afectó la red de Sony, provocando una filtración de datos corporativos en sitios web de intercambio de archivos.

La información filtrada incluyó detalles de las próximas películas, estrategias comerciales y direcciones personales de correo electrónico de los ejecutivos superiores de Sony.

• Ataques de día cero de Adobe Flash Player

En 2016, un ataque de día cero explotó una vulnerabilidad previamente descubierta (CVE-2016-4117) en Adobe Flash Player. Es más, en 2016, más de 100 organizaciones también se vieron afectadas por un exploit de día cero (CVE-2016-0167) que permitió un incremento de los ataques de privilegio que tenían como objetivo a Microsoft Windows.

En 2011, los agentes malintencionados utilizaron una vulnerabilidad sin parchado en Adobe Flash Player para obtener acceso a la red empresarial de seguridad de RSA. Los autores de la amenaza enviaron ficheros adjuntos de hojas de cálculo de Excel por correo electrónico a varios empleados de RSA. Los documentos en Excel contenían un archivo Flash incrustado para explotar la vulnerabilidad de día cero.

Tras abrir uno de los ficheros corruptos, un empleado sin conocimiento de la situación permitió la instalación de la herramienta de administración remota Poison Ivy que tomó control del ordenador infectado. Una vez infiltrados en la red de RSA, los hackers buscaron, copiaron y transmitieron información sensible a servidores externos bajo su poder.

RSA admitiría más tarde que entre los datos robados había información sensible respecto a las herramientas de autenticación de doble factor SecurID de la compañía que se utilizaba a nivel mundial para proteger cargas de trabajo y dispositivos críticos.

• Ataques de día cero en Microsoft Office

En 2017, una vulnerabilidad de día cero reveló que los documentos de Microsoft Office en “formato de texto enriquecido” podrían permitir la ejecución de un script básico visual que ejecutaba comandos de PowerShell una vez abierto. (CVE-2017-0199)

Otro exploit de día cero de 2017 (CVE-2017-0261) portaba un PostScript encapsulado para presentar una plataforma para iniciar infecciones de malware.

• Operación Aurora

En 2009, un exploit de día cero atacó varias empresas de renombre: Google, Yahoo, Adobe Systems y Dow Chemical, para encontrar y robar propiedad intelectual (IP). La vulnerabilidad de día cero existía en Internet Explorer y Perforce. (Google utilizó este último para gestionar su código fuente)

La detección de un ataque de día cero es bastante compleja. El software antivirus, los sistemas de detección de intrusos (IDSes) y los sistemas de prevención de intrusos (IPSes) no pueden detectar la firma de una amenaza que aún no existe.

La forma óptima de detectar amenazas de día cero es mediante el análisis de conducta de usuario. La mayoría de las entidades autorizadas para interactuar con su red por lo general exhiben patrones de conducta y uso específicos, considerados como conducta “normal”. Las acciones de red fuera del espectro habitual podrían indicar una amenaza de día cero.

Las compañías atacadas por un exploit de día cero a menudo detectarán tráfico imprevisto o intentos de escaneo sospechosos desde un servicio o un cliente. Además del análisis de conducta, las organizaciones también pueden detectar una amenaza de día cero de la siguiente manera:

• Base de datos de malware existente y estadísticas de conducta de malware como referencia. Sin embargo, incluso si aquellas bases de datos se actualizan en tiempo real, los exploits de día cero pueden sacar ventajas de vulnerabilidades recientemente descubiertas por los criminales. Entonces, por definición, una base de datos existente está limitada cuando se trata de detectar amenazas desconocidas.

• Cada vez se utiliza el aprendizaje automático para detectar la información de exploit registrada para presentar una línea de base a fin de tener una conducta de sistema segura en función de los datos de interacción pasados y actuales del sistema. A medida que las organizaciones reúnen cada vez más datos, el enfoque puede detectar amenazas de día cero con mayor confianza.

Ya que la explotación de vulnerabilidades se ha convertido en un campo en constante evolución, un enfoque de detección híbrido se recomienda para proteger a las organizaciones y sus datos empresariales valiosos.

Debido a la complejidad en la detección de los exploits de día cero, defenderse contra éstos es un verdadero desafío. Las herramientas de escaneo de vulnerabilidad de software dependen de verificadores de firma de malware para comparar código malicioso con las firmas de malware conocidas. Cuando un ataque de día cero utiliza un exploit de día cero del que no se tenga conocimiento alguno, el escaneo de vulnerabilidad no logrará detectar y bloquear el código malicioso.

Dado que los ataques de día cero sacan provecho de una falla de seguridad desconocida, las compañías no pueden conocer el exploit específico antes de que ocurra. No obstante, existen varios métodos para reducir la exposición al riesgo y proteger a las compañías contra nuevas amenazas.

Las redes de área local virtuales (VLANs) pueden segregar áreas específicas de la red o utilizar segmentos físicos o virtuales de la red para aislar el tráfico esencial entre los servidores de la compañía.

De esta manera, incluso si los infractores quebrantan las defensas de la compañía y obtienen acceso a la red, no serán capaces de robar datos de las áreas de red críticas para la empresa.

La gestión adecuada de parches es fundamental para organizaciones de todas las envergaduras.

Los desarrolladores de software publicarán parches de seguridad tan pronto como se enteren de una posible amenaza de exploit. La aplicación de parches de día cero y de día n tan pronto como sea posible no corregirá las vulnerabilidades de software desconocidas, pero dificultará la tarea de un ataque de día cero exitoso.

Es imposible detectar todas las vulnerabilidades de seguridad antes de que ocurra un exploit de día cero. Sin embargo, las compañías pueden usar un protocolo de seguridad de IP (IPsec) para recurrir a la encriptación y autenticación para el tráfico de red crítico.

Por otra parte, la encriptación de datos faltantes puede dejar expuesta toda la información de red de una compañía, causando un tiempo de inactividad prolongado y daños severos en los ingresos percibidos.

Un IPS e IDS basado en firma podría no tener la capacidad de detectar y contrarrestar un ataque por su cuenta. Sin embargo, podrían dar aviso a los equipos de seguridad respecto a archivos entrantes sospechosos como efecto secundario de un ataque en curso.

Los equipos maliciosos pueden tener acceso a áreas del entorno empresarial críticas y poner en riesgo los dispositivos en toda la red. El control de acceso de red (NAC) deniega la falta de autorización, permitiendo que sólo personal autorizado explore dichas áreas.

El escaneo de vulnerabilidades regular en todas las redes de la empresa es fundamental para descubrir vulnerabilidades y aislarlas antes de que los criminales puedan aprovecharlas.

Es más, muchos de los exploits de día cero dependen del error humano. Educar a los empleados sobre buenas prácticas de higiene informáticas los mantendrá protegidos en línea y evitará que habiliten accidentalmente exploits de día cero y otras amenazas malintencionadas.

Un software EDR especializado como Acronis Cyber Protect Cloud puede detectar, detener y bloquear actividad maliciosa y restaurar rápidamente cualquier archivo afectado. Asimismo, usted puede usar Acronis Backup 12.5 para proteger archivos y documentos en tiempo real, automatizar el parchado de software esencial y crear múltiples respaldos de sistema completo para garantizar la recuperación integral incluso si ocurre un ataque de día cero.