Los actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés) están apuntando a servicios de acceso remoto vulnerables y mecanismos de control de acceso como Windows Smart Screen en sus ataques, aprovechando la explotación de vulnerabilidades, según revela la última investigación de Kaspersky, ‘Exploits and vulnerabilities in Q1 2024’. El análisis de datos disponibles sobre exploits utilizados en ataques APT en 2023-2024 también muestra que aplicaciones de oficina como MS Office y WinRAR son objetivos frecuentes.
Aunque los ataques APT no son muy frecuentes, representan una amenaza significativa para las grandes corporaciones. Los actores de amenazas generalmente apuntan a objetivos específicos y se esfuerzan por permanecer indetectables dentro de la infraestructura durante períodos prolongados. En el primer trimestre de 2024, las vulnerabilidades más populares utilizadas por ciberdelincuentes avanzados resultaron ser la inyección de comandos y eludir la autenticación en el software de Ivanti para la seguridad y gestión de sistemas de TI – CVE-2024-21887 y CVE-2023-46805 respectivamente, según los datos disponibles sobre ataques APT.
La popularidad del CVE-2024-21887 probablemente se deba a su novedad. En ataques dirigidos, suelen explotar vulnerabilidades activamente en las primeras semanas siguientes al registro y publicación, antes de que las empresas hayan tenido la oportunidad de aplicar parches. La vulnerabilidad CVE-2023-46805 puede usarse en conjunto con el CVE-2024-21887.
En tercer lugar, está la vulnerabilidad en WinRAR, descubierta en 2023 pero todavía activamente utilizada en ataques dirigidos. Engaña a los usuarios sobre la naturaleza del archivo adjunto que se está abriendo, reduciendo así su vigilancia. En 2023, las vulnerabilidades más explotadas en ataques avanzados se encontraron en WinRAR (CVE-2023-38831), seguidas por CVE-2017-11882 y CVE-2017-0199 en la suite de Microsoft Office.
“Curiosamente, aunque los exploits para la suite de MS Office tradicionalmente han ocupado el primer lugar y han sido ampliamente utilizados, debido a la popularidad de Windows y su software en el mundo corporativo, la última instantánea de ataques APT revela una tendencia diferente. MS Office ha cedido su liderazgo a los exploits de WinRAR”, explica Alexander Kolesnikov, experto en seguridad en Kaspersky.
El análisis se realizó utilizando información de fuentes disponibles sobre ataques APT, que aprovecharon vulnerabilidades y exposiciones comunes (CVEs) registradas. Para mitigar el riesgo de ataques avanzados, los expertos aconsejan:
- Conoce a fondo tu infraestructura y monitorizar de cerca tus activos, con especial atención en el perímetro.
- Implementa un proceso de Gestión de Parches para detectar software vulnerable dentro de la infraestructura e instalar prontamente los parches de seguridad. Soluciones como Kaspersky Endpoint Security y Kaspersky Vulnerability Data Feed pueden asistir en este aspecto.
- Realiza evaluaciones de seguridad periódicas para identificar y bloquear las vulnerabilidades antes de que se conviertan en un punto de entrada para un atacante.
- Para proteger la compañía contra una amplia gama de amenazas, utiliza soluciones de la línea de productos Kaspersky Next que proporcionan protección en tiempo real, visibilidad de amenazas, capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria. Dependiendo de tus necesidades actuales y recursos disponibles, puedes elegir el nivel de producto más relevante y migrar fácilmente a otro si tus requisitos de ciberseguridad cambian.
