Exploits y vulnerabilidades en el segundo trimestre de 2024

El segundo trimestre de 2024 fue rico en términos de nuevas vulnerabilidades interesantes y prácticas de explotación de aplicaciones y sistemas operativos. Fueron muy comunes los ataques con controladores vulnerables, que se utilizan para aplicar un método universal para aumentar los privilegios en el sistema operativo. Tales ataques son notables porque la vulnerabilidad no tiene que ser reciente, ya que los mismos atacantes introducen controladores no parchados al sistema. En este informe, analizaremos las estadísticas de las publicaciones de investigación que los atacantes pueden usar para atacar los sistemas y también proporcionaremos datos estadísticos sobre las vulnerabilidades.

Estadísticas sobre vulnerabilidades registradas

En esta sección, analizamos las estadísticas de vulnerabilidades reportadas en el portal cve.org.

En el segundo trimestre de 2024, el número de vulnerabilidades reportadas fue mayor que las del mismo período del año anterior, y es probable que aumente aún más, ya que algunas vulnerabilidades, tras registrarlas, no se agregan de inmediato a la lista de CVE. Esta dinámica concuerda con la tendencia general al aumento del número de vulnerabilidades reportadas, que observamos en el informe del primer trimestre.

Número total de vulnerabilidades reportadas y número de vulnerabilidades críticas, segundo trimestre de 2023 y segundo trimestre de 2024 (descargar)

Si se comparan los datos de 2019 a 2024, se puede ver que en la primera mitad de 2024, el número total de vulnerabilidades reportadas fue un poco menor a la mitad del total de 2023. Dicho esto, vale decir que el número de vulnerabilidades reportadas también está creciendo de trimestre a trimestre, por lo que aún no se puede afirmar con certeza que no superará las cifras de 2023 para fin de año.

Número de vulnerabilidades, entre ellas vulnerabilidades críticas y aquellas para las que existen exploits, 2019-2024 (descargar)

También en el gráfico se puede encontrar información sobre el porcentaje de las vulnerabilidades críticas reportadas y aquellas para las cuales existe una descripción pública o prueba de concepto. La reducción del porcentaje de estas últimas en el segundo trimestre muestra que el número de vulnerabilidades reportadas está aumentando con más rapidez que el de exploits publicados para ellas.

La proporción de vulnerabilidades críticas también disminuyó un poco respecto a 2023. Al mismo tiempo, son las vulnerabilidades críticas las que representan el mayor peligro. Para evaluar qué riesgos pueden enfrentar las organizaciones y cómo estos riesgos cambian con el tiempo, analizaremos los tipos de vulnerabilidades que componen la masa total de CVE críticos reportados en el segundo trimestre de 2023 y el segundo trimestre de 2024.

Tipos de vulnerabilidades que incluyen CVE críticos reportados en el segundo trimestre de 2023 (descargar)

Tipos de vulnerabilidades que incluyen CVE críticos reportados en el segundo trimestre de 2024 (descargar)

Como se puede ver en los gráficos, incluso si existe un registro en la base de datos CVE, la mayoría de los problemas siguen sin clasificar, y se necesita mayor investigación para obtener detalles, lo que puede dificultar seriamente la protección de los sistemas donde pueden surgir estas vulnerabilidades. Además de las vulnerabilidades críticas no clasificadas, en el segundo trimestre de 2023 tuvieron difusión problemas como:

• CWE-89: Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) — neutralización incorrecta de elementos especiales de comandos SQL (inyección SQL)
• CWE-78: Improper Neutralization of Special Elements used in an OS Command (OS Command Injection) — neutralización incorrecta de elementos especiales de comandos del sistema (inyección de comandos del SO)
• CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component (Injection) — neutralización incorrecta de elementos especiales en la salida enviada al cliente (inyección)

En el segundo trimestre de 2024, pasaron a primer plano otros tipos de vulnerabilidades:

• CWE-434: Unrestricted Upload of File with Dangerous Type — falta de restricciones para cargar archivos de tipo peligroso
• CWE-89: Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) — neutralización incorrecta de elementos especiales de comandos SQL (inyección SQL)
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal) — limitaciones incorrectas de rutas de catálogos (salida de los límites del catálogo)

Ambas listas de los tipos más comunes indican que la gran mayoría de las vulnerabilidades críticas clasificadas se registran para aplicaciones web. Según información obtenida de fuentes abiertas, las vulnerabilidades en las aplicaciones web son las más críticas, ya que las aplicaciones web incluyen software que tiene acceso a datos confidenciales, como sistemas de intercambio de archivos, consolas de control de acceso a través de VPN, así como sistemas en la nube e IoT.

Estadísticas de explotación de vulnerabilidades

Esta sección contiene estadísticas sobre el uso de exploits en el segundo trimestre de 2024. Los datos provienen de fuentes de acceso público y de nuestra telemetría.

Los exploits son software bastante caro. Su relevancia puede durar cuestión de días e incluso horas. Al mismo tiempo, el proceso de su creación lleva un tiempo bastante largo, que puede variar según el tipo de exploit. A continuación se muestran las estadísticas de las plataformas más populares cuyos usuarios fueron atacados con exploits.

Explotación de vulnerabilidades en Windows y Linux

Desde principios de año, el número de exploits detectado por las soluciones de Kaspersky para la plataforma Windows ha seguido creciendo, principalmente debido a los correos electrónicos de phishing y los intentos de obtener acceso inicial a los sistemas de usuarios mediante la explotación de vulnerabilidades. Los exploits más populares para esta plataforma son los exploits para vulnerabilidades de productos de Microsoft Office:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en Equation Editor
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta al Equation Editor
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema
• CVE-2021-40444: vulnerabilidad de ejecución remota de código en el componente MSHTML

Evolución del número de usuarios de Windows que se toparon con exploits, primer trimestre de 2023 – segundo trimestre de 2024. Se considera que el 100% es el total de usuarios afectados por exploits en el primer trimestre de 2023 (descargar)

Vale la pena señalar que, debido a patrones de detección bastante similares, entre los exploits clasificados como CVE-2018-0802 y CVE-2021-40444 también pueden estar los exploits para las vulnerabilidades CVE-2022-30190 (vulnerabilidad de ejecución remota de código en Microsoft Support Diagnostic Tool (MSDT)) y CVE-2023-36884 (vulnerabilidad de ejecución remota de código en el componente de búsqueda de Windows), que también siguen siendo relevantes para los atacantes.

La creciente popularidad de la plataforma Linux en el segmento empresarial también muestra un crecimiento, pero a diferencia de Windows, los principales exploits para esta plataforma se dirigen al núcleo de Linux:

• CVE-2022-0847: vulnerabilidad de elevación de privilegios en el kernel de Linux
• CVE-2023-2640: vulnerabilidad de elevación de privilegios en el kernel de Ubuntu
• CVE-2021-4034: vulnerabilidad de elevación de privilegios en la utilidad pkexec que permite ejecutar comandos en nombre de otro usuario

Evolución del número de usuarios de Linux que se enfrentaron a exploits, primer trimestre de 2023 – segundo trimestre de 2024. Se considera que el 100% es el total de usuarios afectados por exploits en el primer trimestre de 2023 (descargar)

La mayoría de los exploits para Linux son exploits de elevación de privilegios que los atacantes pueden usar para anclar y ejecutar código malicioso en el sistema. Esto puede deberse a que a menudo los atacantes atacan servidores que ejecutan este sistema operativo, lo que requiere altos privilegios para obtener el control.

Los exploits más difundidos

En el segundo trimestre, la distribución de vulnerabilidades críticas para las que existen exploits públicos cambió. Para que la comparación quede clara, presentamos los gráficos para el primer y segundo trimestre.

Distribución de exploits para vulnerabilidades críticas por plataforma, primer trimestre de 2024 (descargar)

Distribución de exploits para vulnerabilidades críticas, por plataforma, segundo trimestre de 2024 (descargar)

En el segundo trimestre, en comparación con el primero, aumentó la proporción de exploits para vulnerabilidades en los sistemas operativos. Esto se debe a que la mayoría de los investigadores publican PoC más cerca del verano, cuando se llevan a cabo conferencias especializadas. Como resultado, en el segundo trimestre se publicó una gran cantidad de exploits para sistemas operativos. Además, la proporción de exploits para vulnerabilidades en Microsoft Sharepoint aumentó durante el período cubierto por el informe, y escasearon los nuevos exploits para navegadores.

Explotación de vulnerabilidades en ataques APT

Analizamos qué vulnerabilidades se utilizan con mayor frecuencia en los ataques avanzados (APT). La siguiente clasificación se basa en nuestra telemetría, investigación y fuentes de acceso público.

TOP 10 de vulnerabilidades explotadas en ataques APT, segundo trimestre de 2024

Aunque la lista de vulnerabilidades comunes en los ataques APT ha cambiado bastante con respecto al primer trimestre, la mayoría de las veces, para acceder a las redes internas de las organizaciones, los atacantes explotaron los mismos tipos de soluciones de software y hardware: servicios de acceso remoto, mecanismos de delimitación de acceso y aplicaciones de oficina. Vale la pena señalar que las vulnerabilidades de 2024 de esta calificación ya estaban siendo explotadas en el momento de su detección, es decir, eran vulnerabilidades de día cero.

Uso de controladores vulnerables para atacar sistemas operativos

En esta sección, analizaremos los exploits públicos que utilizan controladores vulnerables para atacar el sistema operativo Windows y el software para el mismo. El número de estos controladores vulnerables, tanto en las estimaciones de dominio público como según nuestros datos, es de cientos, y la lista se actualiza constantemente.

Los atacantes pueden usar controladores vulnerables como parte de la técnica Bring You Own Vulnerable Driver (BYOVD). El ataque implica la instalación de un controlador no parchado en el sistema para garantizar que la explotación de la vulnerabilidad sirva para elevar privilegios en el sistema operativo o realizar otras operaciones de interés para el atacante. Al principio, este método lo usaban los creadores de trucos para juegos, pero después lo adoptaron los atacantes.

A partir de 2023, hemos visto una tendencia creciente hacia el uso de controladores vulnerables para atacar el sistema operativo Windows con el objetivo de escalar privilegios e intentar eludir los mecanismos de defensa. Por lo tanto, agregamos sistemáticamente a nuestras soluciones mecanismos para detectar y bloquear operaciones maliciosas a través de controladores vulnerables, y los vamos perfeccionado.

Instrumentos para ataques BYOVD

En sí, los controladores vulnerables son un problema bastante serio para la seguridad del sistema operativo, pero para realizar acciones realmente destructivas, se necesita una aplicación cliente que transmita instrucciones maliciosas al controlador.

Desde 2021, en Internet se han publicado 24 proyectos que abordaron los controladores vulnerables en el contexto de la ejecución de la elevación de privilegios y los ataques a procesos privilegiados, como soluciones de seguridad, tanto integradas como de terceros. Más adelante puede ver distribución del número de publicaciones por año.

Número de instrumentos de administración de controladores vulnerables publicadas en línea, 2021-2024 (descargar)

2023 fue el año más rico en publicación de instrumentos para ataques BYOVD. Al mismo tiempo, en la primera mitad de 2024, se publicaron más que en los años 2021 y 2022 combinados. Hemos evaluado las tendencias del uso de este tipo de software en ataques reales, utilizando el ejemplo de los ataques bloqueados contra productos de Kaspersky durante el primer y segundo trimestre de 2024:

Dinámica del número de usuarios que se enfrentaron a los ataques con controladores vulnerables contra productos de Kaspersky, primer y segundo trimestre de 2024. Se considera 100% los datos del primer trimestre de 2024 (descargar)

Con el aumento de los ataques lanzados con la técnica BYOVD, los desarrolladores de instrumentos que explotan controladores vulnerables han comenzado a venderlos, por lo que se puede observar una tendencia a la baja en el número de publicaciones que presentan instrumentos para ataques mediante de controladores vulnerables. Sin embargo, como ya lo mencionamos, se los sigue haciendo públicos.

Vulnerabilidades interesantes

Esta sección contiene información sobre vulnerabilidades interesantes registradas en el segundo trimestre de 2024.

CVE-2024-26169 (WerKernel.sys)

Werkernel.sys es el controlador del subsistema Windows Error Reporting (WER) responsable de enviar mensajes de error. La vulnerabilidad CVE-2024-26169 es una vulnerabilidad de día cero que se descubrió durante la investigación de un incidente relacionado con un ataque de ransomware. Consiste en que werkernel.sys utiliza un descriptor de seguridad nulo (NULL security descriptor). Por lo tanto, cualquier usuario puede interactuar con el controlador, por ejemplo, reescribir el valor de la clave de registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe. Esta clave almacena los datos de la aplicación, que es responsable del procesamiento de errores para las aplicaciones en Windows.

Al estudiar el algoritmo del exploit, se pueden ver estos eventos:

Lista de eventos generada por el exploit

El exploit intenta realizar los pasos preparatorios para crear claves de registro especiales que le permiten reiniciar el ejecutable especificado en el registro con privilegios de usuario del SYSTEM. El exploit en sí se basa en la vulnerabilidad Race Condition y, por lo tanto, el éxito depende del sistema donde se ejecute.

CVE-2024-26229 (csc.sys)

Csc.sys es otro controlador en Windows, esta vez relacionado con el servicio Windows Client-Side Caching (CSC), que es responsable del almacenamiento en caché de datos del lado del cliente. CVE-2024-26229 pertenece a las vulnerabilidades de elevación de privilegios y es un ejemplo ilustrativo del problema del código peligroso en los controladores del sistema operativo. Pocos días después de publicada la información sobre ella en el portal de Microsoft se lanzó una PoC, que se extendió por la red y se reescribió en varios formatos y marcos para pruebas de penetración.

El exploit es muy fácil de aplicar y es un paquete “clásico” del primitivo Write (escribir en una ubicación arbitraria del kernel) y el primitivo de fuga de dirección del objeto del kernel.

El desencadenante de la vulnerabilidad se produce con la ayuda de IOCTL. Es decir, el método de comunicación con el controlador vulnerable es muy similar al método de ataque BYOVD.

El algoritmo principal de las acciones del exploit tiene como objetivo modificar la estructura PRIMARY_TOKEN del proceso iniciado por el usuario. Esto se logra mediante las capacidades del controlador vulnerable.

CVE-2024-4577 (PHP CGI)

La vulnerabilidad CVE-2024-4577 surgió porque se logró burlar la validación de los parámetros que se pasan a la aplicación web. La idea es que en el modo CGI, PHP puede no terminar de validar algunos caracteres peligrosos para páginas en determinados idiomas. Los atacantes pueden usar esta peculiaridad para llevar a cabo un ataque de inyección de comandos a nivel de sistema operativo (OS Command Injection) bastante antiguo.

El problema de validación se produce en los sistemas que utilizan las siguientes configuraciones de idioma:

• Chino tradicional (Code Page 950)
• Chino simplificado (Code Page 936)
• Japonés (Code Page 932)

Vale la pena señalar que el modo CGI no es muy popular hoy en día, pero se encuentra en productos como los servidores web XAMPP.

La explotación de la vulnerabilidad es posible porque para evadir el filtro de parámetros, es suficiente usar un análogo del carácter Unicode “–” (guion corto) en los lenguajes jeroglíficos en lugar del signo de guion habitual. El resultado es que a la consulta se agregan datos que pueden ejecutar comandos adicionales. En el árbol de procesos, toda la operación luce así:

Árbol de procesos en el sistema de las víctimas al explotarse la vulnerabilidad CVE-2024-4577

Conclusiones y recomendaciones

La calidad y la cantidad de vulnerabilidades y de exploits en funcionamiento aumentan cada trimestre, y los atacantes encuentran formas de reactivar vulnerabilidades que ya han sido parchadas. Uno de los principales trucos para explotar vulnerabilidades cerradas es la técnica BYOVD, donde los atacantes cargan un controlador vulnerable en el sistema. La gran variedad de ejemplos y conjuntos de herramientas de acceso público permiten adaptar rápidamente los controladores vulnerables a las necesidades del atacante. En el futuro, los más probable es que veamos un uso cada vez más frecuente de esta técnica en los ataques.

Para mantenerse a salvo, también hay que estar atento a los cambios en el panorama de las amenazas:

• Debe conocer su infraestructura y monitorearla cuidadosamente, prestando especial atención al perímetro. Debe orientarse bien en su propia infraestructura para garantizar su seguridad.
• Construya una administración de parches competente, que le permita detectar y corregir las vulnerabilidades en la infraestructura, incluidos los controladores vulnerables introducidos a su red por los atacantes. En esto pueden ayudarle Vulnerability Assessment and Patch Management y Kaspersky Vulnerability Data Feed.
• Utilice soluciones de seguridad completas que puedan proteger bien los puestos de trabajo, detectar y detener ataques de cualquier complejidad en las primeras etapas, recopilar datos actualizados sobre ataques cibernéticos en todo el mundo y capacitar a los empleados en habilidades básicas de alfabetización digital. Entre las soluciones de Kaspersky, la línea Kaspersky NEXT cumple con estos criterios.