Las vulnerabilidades más usadas por los kits de explotación

Hoy, la mayor amenaza se encuentra en el navegador. Sus vulnerabilidades y las de los plugins que exponen al exterior, permiten a los atacantes ejecutar código en el sistema con solo visitar una web. Los exploits packs son los encargados de recopilar esos fallos, crear exploits y “servirlos” a la víctima según su perfil. A cada usuario se le buscará la vulnerabilidad adecuada que explotar, y el payload que lanzar. Con este esquema se mueven las grandes mafias desde hace años, alquilando o distribuyendo estos exploits kits para esparcir su malware.

En la tabla se analizan unos 50 exploits kits (contando las diferentes versiones de un mismo kit) que se han conocido desde 2011 a 2013. Observamos así a primera vista ya diferencias entre algunos. Si bien BlackHole es de los más reconocidos y prolíficos, no es el que contiene un mayor número de exploits en su arsenal. Unos 6 u 8 (es complicado ser exactos puesto que el usuario del kit puede añadir a su gusto). Sin sorpresas, todas las vulnerabilidades están destinadas a Java. La última que se le conoce es la CVE-2013-0431 que afecta a 7u11. El otro exploit kit por excelencia, el Cool Pack, es el que más exploits contiene. Quizás 20. 8 de Java, 4 de Internet Explorer y 2 contra Adobe PDF reader (incluyendo el 10).

La vulnerabilidad reciente más “famosa” entre los kits, presente en más de 20, es CVE-2012-1723. De esta vulnerabilidad ya hemos hablado en una-al-día (en la que se llegó a afirmar con la intención de llamar la atención sobre el grave problema que suponía: “Si no actualizas Java, estás infectado“. Se hizo extremadamente popular en 2012 y fue prácticamente el pistoletazo de salida para el calvario de Java, una especie de ensañamiento de los atacantes contra esta tecnología. Se trataba de un fallo de diseño, no una vulnerabilidad en la máquina virtual. Fue solucionada el 12 de junio de 2012.

Otras muy populares son: CVE-2011-3544 (Java Rhino), CVE-2012-1723 (Java Byte / verifier) y CVE2012-5076 (Java-wx). En general, si observamos la panorámica de la tabla y tenemos en cuenta que las celdas de color amarillo fluorescente se corresponden con vulnerabilidades de Java, podemos hacernos una idea de su popularidad en los exploits en los últimos tiempos. A partir de 2006 en adelante, (quizás hasta 2010) las más populares atentaban contra Internet Explorer 6 (azul) y Adobe Reader (rosa)

https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dE9EVGhjeUhvQTNReko3c2xhTmphLUE#gid=0

Otro software muy atacado es Internet Explorer en sí. CVE-2012-1889, CVE-2012-4792, y CVE-2012-4969 son recientes y bastante populares, y afectan a las versiones 8 y 9. Esto es menos rentable para los atacantes, puesto que depende mucho del sistema operativo y su explotación suele ser más compleja. Pero siguen usándola cuando no funcionan otras.

Si nos remontamos a vulnerabilidades más antiguas, tenemos que durante 2010, fue tremendamente popular CVE-2010-0188 que afectaba a Adobe Reader. Aunque sigue siendo objetivo de atacantes, rectificaciones en sus políticas y mejoras de seguridad han calmado el problema. Más allá todavía, sorprenden vulnerabilidades clásicas de Microsoft que todavía se siguen usando como CVE-2006-0003 (MDAC) que afectaba a Internet Explorer 6.

Con los profesionales distribuyendo malware a través de medios profesionales a su vez (como lo son estos kits de explotación) es muy útil saber qué balas están usando contra las víctimas. Sabemos que durante 2012 el 50% de las infecciones por malware vinieron a través de la explotación de vulnerabilidades en el plugin de Java, y esta recopilación no hace más que confirmar cómo y por qué.

Aunque el usuario debe preocuparse de todas las vulnerabilidades, es necesario priorizar y comprender cuáles elevan realmente el riesgo y cuáles hacen asumibles ese peligro. Está claro que con cierto software, las probabilidades se disparan y es necesario vigilarlo de cerca.

ExploitPackTable_2013

Sergio de los Santos

Twitter: @ssantosv