.
A descoberta e exploração de vulnerabilidades de dia zero em softwares e dispositivos específicos de empresas parece estar ultrapassando o aproveitamento geral de bugs de dia zero, a julgar pelas pesquisas mais recentes do Google.
Em um relatório publicado hoje, o Threat Analysis Group (TAG) da gigante da web e a divisão Mandiant disseram que rastrearam 97 vulnerabilidades de dia zero no total encontradas e exploradas por malfeitores em 2023, o que é consideravelmente mais do que no ano anterior, que teve 62 dessas falhas. Isso é um aumento de 56%.
O número de vulnerabilidades de dia zero de tecnologia específica da empresa encontradas e exploradas, no entanto, aumentou 64 por cento em 2023 em comparação com 2022, com criminosos explorando 36 desses bugs. Segundo nos disseram, este número tem crescido rapidamente nos últimos cinco anos, com apenas 11,8% dos dias zero em 2019 afetando software empresarial.
“Essa porcentagem aumentou para 37,1 por cento em 2023, sinalizando uma mudança contínua nos tipos de produtos direcionados para exploração maliciosa”, segundo o relatório [PDF].
O relatório deste ano combina análises das equipes Mandiant e TAG pela primeira vez desde que o Google comprou a Mandiant em 2022. Ele também dividiu as vulnerabilidades de dia zero em duas categorias: plataformas e produtos de usuário final – abrangendo dispositivos móveis, sistemas operacionais, navegadores e outros aplicativos – e software e dispositivos voltados para empresas.
Embora 61 dos 97 produtos de dia zero tenham afetado produtos de usuário final no ano passado, esse número não está aumentando tão rapidamente quanto seus equivalentes empresariais.
Especificamente, isso incluiu 17 vulnerabilidades do Windows, 11 no Safari, nove afetando iOS e Android e oito no Chrome. O Google não observou nenhum dia zero no macOS, Firefox ou Internet Explorer no ano passado.
Os caçadores de bugs atribuem a fornecedores como Apple, Google e Microsoft a realização de “investimentos notáveis que estão tendo um impacto claro nos tipos e no número de atores de dia zero que são capazes de explorar”.
Isso inclui proteções como o modo Lockdown da Apple para iOS e o MiraclePtr do Google, que evita a exploração de bugs de uso após liberação em todas as plataformas Chrome.
“Vulnerabilidades que eram comuns no passado são praticamente inexistentes hoje”, afirma o relatório.
Nessas plataformas de usuário final, no entanto, os Googlers notaram um aumento no dia zero em componentes e bibliotecas de terceiros, o que dá aos invasores mais retorno financeiro e permite que explorem um bug enquanto afetam vários produtos.
Isso incluiu CVE-2023-5217, uma vulnerabilidade de buffer overflow que afeta a codificação VP8/VP9 na libvpxin, uma biblioteca de codecs de vídeo de código aberto. Essa falha afetou Chrome, Firefox, iOS e Android.
Vamos para outro navegador de dia zero que foi explorado em 2023 – CVE-2023-4863, um estouro de buffer de heap no libwebp que afetou qualquer software que usasse a biblioteca de imagens WebP. Isso incluiu Chrome, Safari, Android e Firefox.
“Avaliamos com grande confiança que a vulnerabilidade CVE-2023-4863 do Chrome e a vulnerabilidade CVE-2023-41064 do Apple ImageIO são na verdade o mesmo bug”, afirmam TAG e Mandiant.
Dia zero da tecnologia empresarial
Voltando ao dia zero corporativo, os caçadores de ameaças do Google atribuem o aumento a softwares e dispositivos de segurança com bugs em 2023. Notavelmente, isso incluiu Barracuda Email Security Gateways, Cisco Adaptive Security Appliances, Ivanti Endpoint Manager Mobile and Sentry e Trend Micro Apex One .
A Ivanti teve três explorações de dia zero no ano passado, assim como a North Grid Corporation, dando a esses dois fornecedores a duvidosa honra de serem a tecnologia empresarial mais explorada em 2023 em termos de dia zero.
Isto também ilustra um “desafio fundamental” enfrentado pelos fornecedores empresariais, de acordo com a TAG e a Mandiant: “Aprender como responder a ataques sofisticados que visam os seus produtos de uma forma oportuna e eficaz, ao mesmo tempo que desenvolve um patch eficaz que aborda as formas como os agentes da ameaça estão a armar a vulnerabilidade.”
Fornecedores de vigilância comercial e bisbilhoteiros do governo se fortalecendo
Falando em ataques e atacantes sofisticados, talvez não seja surpreendente que a maior parte das explorações do ano passado possa ser atribuída a fornecedores de vigilância comercial (41,4%) e a espiões cibernéticos governamentais (41,4%).
O restante (dez explorações) veio de criminosos motivados financeiramente, que já estão tendo muito sucesso na busca e na exploração de bugs recentemente divulgados, por isso não faz muito sentido para eles comprarem explorações de dia zero.
As equipes do Google foram capazes de atribuir motivação a 58 dias zero em 2023, e um total de 48 deles remonta a fornecedores de vigilância comercial (como o desenvolvedor do Pegasus, NSO Group, o fabricante do Predator, Intellexa, Candiru e outros) e equipes ligadas ao governo, incluindo aqueles com laços com a Rússia, Coreia do Norte, Bielorrússia, China e outros atores desconhecidos.
A TAG se aprofunda em muitos desses fornecedores de vigilância comercial em seu relatório anterior [PDF]publicado no mês passado, que vale a pena ler por sua visão do ecossistema CSV.
Algumas estatísticas notáveis do novo relatório de dia zero: os CSVs foram responsáveis por 75% (13) das explorações de dia zero conhecidas direcionadas a produtos Google e dispositivos do ecossistema Android em 2023, e 55% direcionadas a iOS e Safari (11).
Os CSVs não tiveram sorte com o dia zero do Windows em 2023. Cada exploração do Windows pode ser atribuída a criminosos apoiados pelo governo ou com motivação financeira.
No entanto, “sabemos que Candiru, um CSV, tinha uma cadeia para Windows porque conseguimos recuperar o primeiro estágio da exploração do Chrome, mas não conseguimos recuperar o resto das explorações da cadeia”, diz o relatório.
Além disso, o governo da China esteve por trás de 12 explorações de dia zero no ano passado, contra sete em 2022, o que, mais uma vez, coloca a República Popular como o atacante mais prolífico do Estado-nação.
Este número inclui a exploração de dois bugs do Barracuda pelo UNC4841, CVE-2023-2868 e CVE-2023-7102.
Além disso, outro grupo ligado a Pequim, o UNC3886, explorou três dias zero separados usando dois novos caminhos de ataque, conforme descreve o relatório:
Em um segundo ataque, o grupo explorou o CVE-2023-34048, um bug de gravação fora dos limites do VMware, e também explorou o CVE-2023-20867. TAG e Mandiant afirmam que isso permitiu aos criminosos acesso a redes vulneráveis já no final de 2021. ®
.
