Levantamento feito por pesquisadores da empresa de segurança cibernética Mandiant revela que 55 vulnerabilidades de dia zero foram exploradas ativamente no ano passado, a maioria visando produtos da Microsoft, Google e Apple. A maioria dessas vulnerabilidades — 53 do total — permitiu que o invasor obtivesse privilégios elevados ou executasse código remoto em dispositivos vulneráveis.
Vulnerabilidades de dia zero são pontos fracos de segurança em produtos de software que são divulgados publicamente ou explorados antes que um desenvolvedor saiba ou libere uma correção. Elas são consideradas extremamente valiosas para os hackers porque explorá-las é fácil e furtivo, já que não há medidas de proteção ou monitoramento específico para rastrear e interromper os ataques.
De acordo com a Mandiant, a maioria das falhas de dia zero do ano passado foram exploradas por hackers patrocinados pelo governo chinês e a maioria dos sistemas operacionais, navegadores da web e produtos de gerenciamento de rede.
Em 2021, os operadores de ameaças exploraram 80 falhas de dia zero em vários produtos para realizar violações de segurança, então o ano passado mostra um ligeiro declínio. Ainda assim, 2022 supera todos os outros anos em relação ao número de falhas de dia zero ativamente exploradas.
A Mandiant diz que 2021 foi um ano particularmente excepcional para a exploração de dia zero, e a empresa diz que a tendência é continuar subindo neste ano. No entanto, a migração contínua para serviços de nuvem pode reduzir o número de falhas de dia zero divulgadas, pois os fornecedores de nuvem seguem uma abordagem diferente nos relatórios de segurança.
Das 55 falhas de dia zero exploradas no ano passado, 13 foram exploradas por grupos de ciberespionagem, sendo que os ciberespiões chineses alavancaram sete delas. Já os operadores de ameaças russos exploraram duas falhas, com uma sobreposição, enquanto os norte-coreanos se aproveitaram de outras duas. A Mandiant não conseguiu determinar a origem dos ataques de espionagem em três casos.
Os grupos de ciberespionagem têm preferido atacar produtos de “infraestrutura de ponta”, pois geralmente não possuem soluções de detecção e são menos propensos a disparar alarmes. Além disso, sua exploração não requer interação com a vítima e pode facilitar o movimento lateral dentro da rede comprometida.
Operadores de ameaças com motivação financeiramente foram responsáveis por explorar quatro vulnerabilidades de dia zero no ano passado, com três atribuídas a grupos de ransomware. A Mandiant diz que não conseguiu inferir a motivação exata para explorar 16 vulnerabilidades de dia zero.
Apesar dos esforços dos governos ocidentais para conter o problema do spyware comercial, a Mandiant relata que continuou a ser um problema em 2022, com ao menos três dias zero descobertos por fornecedores de malware semilegais.
Em relação aos produtos visados, o Windows foi afetado por 15 falhas de dia zero em no ano passado, o Chrome vem em segundo lugar com nove vulnerabilidades ativamente exploradas, o iOS em terceiro com cinco dias zero e o macOS em quarto lugar com quatro problemas de dia zero.
Veja isso
Ataques de dia zero ao firewall Fortinet são ligados a chineses
Microsoft alerta sobre exploração de dia zero no Outlook
Proteger os sistemas contra a exploração de dia zero pode ser um desafio, pois não existem correções para as vulnerabilidades visadas. No entanto, as organizações ainda podem tomar medidas para mitigar o impacto de tais ataques:
- Não exponha dispositivos internos à Internet, a menos que seja necessário e, se o fizer, implemente listas de permissão com base em endereços IP;
- Utilize túneis privados ou VPNs para acessar servidores em vez de expô-los à internet;
- Aplique o princípio do menor privilégio para limitar os direitos de acesso do usuário ao mínimo necessário;
- Implemente a segmentação de rede para limitar a propagação de um ataque em caso de violação;
- Use monitoramento de rede, firewalls, produtos de filtragem de e-mail e web e ferramentas de segurança de endpoint.
Também é aconselhável que os administradores assinem anúncios de produtos ou boletins de segurança de seus fornecedores para ficar por dentro das novas atualizações à medida que são lançadas.