El uso generalizado y la disponibilidad de las aplicaciones web las hace atractivas a ojos de los cibercriminales que pueden comprometer “cientos de miles” de sitios atacando sus vulnerabilidades.
Es lo que afirma un informe de 92 páginas elaborado por Trustwave tras estudiar distintos fenómenos que suponen diversos grados de amenaza en diferentes frentes durante el año 2016.
El documento además se apoya en la comparación de ciertos campos del año pasado con esos mismos campos en 2015, lo que ayuda a ampliar la perspectiva.
Trustwave encontró que exactamente el 99,7% de las aplicaciones web analizadas por ellos el año pasado contenían al menos una vulnerabilidad. Es un porcentaje mayor que el arrojado en cada uno de los tres años anteriores.
El porcentaje de vulnerabilidades encontradas es mayor que en años anteriores a 2016
Hay además una media de once vulnerabilidades por aplicación, lo que supone en este caso una reducción con respecto a los tres años anteriores a 2016.
La mayor parte de esas vulnerabilidades, en concreto el 77%, estaban relacionadas con la gestión de las sesiones. Un atacante puede aprovechar esta vulnerabilidad para apoderarse de la sesión de un usuario o espiar la misma, lo que puede suponer un riesgo si hay información sensible de por medio.
Eso sí, el 79% eran vulnerabilidades con un riesgo bajo frente a un 7% que presentaban un riesgo alto y un 3% de ellas eran consideradas de tipo crítico.
Esta es la principal preocupación para Lawrence Munro, vicepresidente de Spider Labs en Trustwave, según comentó él mismo en declaraciones a Security Week. El segundo aspecto de la investigación que destacó es el comportamiento del mercado de exploits de Día Cero.
Un atacante puede aprovecharse de esta vulnerabilidad para apoderarse de la sesión de un usuario o espiarla
Si en su día un experto aseguró a merca2 que un exploit de Día Cero puede llegar a costar millones de dólares en el mercado negro, Trustwave se hace eco de un caso donde el precio era muy inferior, pero aun así desorbitado dentro de su categoría.
Los investigadores declaran en el informe haber sido testigos de cómo alguien intentó vender al mejor postor un exploit de Día Cero para Windows. Este caso viene reflejado con cierto detalle en el documento.
Les llamó la atención un anuncio publicado en un sitio web que funciona como mercado negro dirigido a un público rusoparlante donde se compran y se venden este tipo de herramientas para explotar vulnerabildiades, recursos de botnets, etcétera.
A los investigadores les llamó la atención un anuncio publicado en un sitio web que funciona como mercado negro
Ahí un tal BuggiCorp publicó un mensaje el 11 de mayo de 2016 ofreciendo un exploit que permitía la escalada de privilegios en el kernel de Windows.
Esto es, se trataba de un exploit con el que se podía obtener acceso a funciones del módulo central de este sistema operativo que venían protegidas de fábrica.
El vendedor decía estar dispuesto a escuchar ofertas a partir de 95.000 dólares estadounidenses. El pago debía hacerse en bitcoin.
Según los expertos este tipo de mercado ilícito seguirá con nosotros mientras haya compradores dispuestos a pagar las tarifas
Los expertos aseguran que este tipo de mercados seguirá entre nosotros mientras siga existiendo gente que venda y gente que esté dispuesta a pagar.
El cliente normalmente tenderá a ser uno de esos grupos calificados como APT (Amenaza Persistente Avanzada en sus siglas en inglés). Un ejemplo conocido de esta categoría es Fancy Bear.
Un ‘exploit’ de Día Cero abandona el reino de las sombras
Lo que sorprende realmente a los investigadores volviendo al caso concreto que cuentan es que no es precisamente normal que alguien ofrezca un exploit de Día Cero en un foro accesible a todo el mundo, en lugar de hacerlo en uno restringido al que solo se pueda acceder a través de TOR.
Desechando el contacto en privado y a veces con un intermediario de por medio, parece como si en este caso este tipo de vendedor hubiera decidido sacar el exploit de Día Cero de entre las sombras.
Algo que lleva a Trustwave a lanzar la hipótesis de si dichos exploits se están convirtiendo en un producto de consumo para una masa de cibercriminales.
Normalmente este tipo de transacciones se hacen en privado y a veces con un intermediario
A pesar de haber pasado a un foro por decirlo así más convencional, BuggiCorp se comportaba como un vendedor que desconfiaba de sus posibles compradores. Insistió en usar al administrador del foro como depositario.
Para los autores del informe, esto sería un indicador de que BuggiCorp quería ser tomado en serio como vendedor. Aquí por tanto sacaría a relucir una costumbre común de aquellos foros que tienden a frecuentar los ciberdelincuentes, donde la figura del depositario es algo habitual.
Para asegurarse de que ni el vendedor ni el comprador puedan estafarse el uno al otro, el depositario retiene el dinero del comprador hasta que el vendedor suministra el producto y el comprador se asegura de que todo está en orden.
El vendedor parecía querer corroborar que iba en serio al solicitar un depositario y el pago en ‘bitcoin’
Ello invitó a pensar a estos especialistas que el hecho de que BuggiCorp exigiera la figura del depositario y además requiriera el pago en bitcoin aumentaba las posibilidades de que tras ese apodo hubiera alguien realmente interesado en hacer negocios.
Hay que tener en cuenta que con el depositario por medio, si al final hubiera resultado que BuggiCorp iba de farol y no tenía exploit alguna para vender, entonces no habría recibido el dinero del cliente.
Un precio desorbitado
Unas semanas después de haber publicado el anuncio en el foro, el misterioso vendedor bajó el precio a 90.000 dólares y prometió que el exploit solo sería entregada a un comprador.
Que un exploit de este tipo sea de uso exclusivo de un atacante aumenta su valor, ya que este se desprende de la suspicacia que puede producir saber que otra persona tiene un exploit exactamente con las mismas características que la suya.
Junto con la oferta de 90.000 dólares, BuggiCorp publicó dos vídeos donde supuestamente se mostraba el funcionamiento del exploit. Trece días después, bajó a 85.000 dólares y poco menos de un mes después marcó el hilo de la conversación que había empezado como irrelevante.
Al ofrecer el ‘exploit’ en exclusiva aumentaba el valor de este: se supone que nadie más lo tendría
Para los investigadores de Trustwave las principales hipótesis permanecen abiertas: Microsoft pudo encontrar el parche adecuado, BuggiCorp pudo encontrar a un comprador interesado o, simplemente, pudo tratarse de una falsedad muy bien elaborada.
Lo que parece casi fuera de dudas, es que el precio de un exploit de ese calibre excedía las cifras en las que se movía en el mercado.
La brecha de información de Hacking Team en 2015 reveló que esta empresa especializada en suministrar exploits de día cero a gobiernos y agencias de seguridad estatales compró a un investigador de Singapur un exploit similar por unos 80.000 dólares, según el informe.
Hay empresas especializadas en el suministro de herramientas para explotar vulnerabilidades a distintas fuerzas de seguridad
El documento también especifica que Zerodium, otra empresa con una línea de negocio similar, hizo algo bastante poco habitual en este mundo: publicar una lista de cuánto estaba dispuesta a pagar por diversos exploits.
En ella se vio precisamente que no pensaban abonar más de 30.000 dólares por uno de características muy similares a la que ofrecía BuggiCorp.