Cadenas de explotación: cómo y por qué los delincuentes atacan múltiples vulnerabilidades
Esto es lo que necesita saber sobre los riesgos de la cadena de explotación, los casos de uso y la mitigación.
Las cadenas de explotación o vulnerabilidad son ciberataques que agrupan varias brechas para comprometer un objetivo. Los ciberdelincuentes las usan para lograr un mayor impacto en comparación con único punto de entrada a los sistemas. “El objetivo de estos incidentes es obtener acceso a nivel de sistema para comprometerlo”, dice el analista de Forrester Steve Turner. “Las cadenas de explotación permiten a los atacantes integrarse en el entorno de una empresa mediante el uso de vulnerabilidades en los procesos normales del sistema sin pasar por numerosas defensas”. Si bien estos ataques en cadena de exploits requieren más tiempo, esfuerzo y experiencia, permiten llevar a cabo acciones que son más difíciles de remediar según la longitud y la sofisticación de la secuencia de vulnerabilidades.
Los riesgos de la cadena de explotación
La ejecución de cadenas de explotación tiende a suceder de una manera rápida, y la mayoría de las organizaciones no cuentan con los manuales, procesos y herramientas adecuadas para poder detener o contener progresivamente la amenaza.
“La realidad es que los equipos de seguridad TI están agobiados por el hecho de que casi todos los exploits aprovechan las vulnerabilidades conocidas que no se han mitigado”, asegura Ortal Keizman, líder de investigación de Vulcan Cyber. “La gestión de vulnerabilidades es un juego para el que al menos el 56% de las compañías carecen de las capacidades necesarias para proteger sus negocios”.
Ejemplos y casos de uso
Uno de los mejores ejemplo fue el ataque a la empresa TI SolarWinds, que fue mucho más allá de una sola vulnerabilidad que necesitaba ser parcheada o una puerta trasera de la cadena de suministro que necesitaba ser asegurada. “Se aprovecharon los fallos tanto en el código propietario como en el abierto”, explica Keizman. “Los delincuentes desarrollaron una amenaza persistente avanzada al explotar primero las capas críticas de la cadena de suministro de software que permitían el acceso remoto y privilegios elevados dentro de las redes privadas”.
Una vez que se abrió la puerta trasera a las fábricas de software institucional, los atacantes se aseguraron de que las vulnerabilidades de prueba de concepto estuvieran disponibles para infiltrarse aún más en las joyas de la corona a través de vulnerabilidades conocidas que no se habían mitigado.
Explotar cadenas dirigidas a dispositivos móviles
El experto John Bambenek considera que las cadenas de explotación se utilizan de forma más destacada en los dispositivos móviles. “Debido a la naturaleza de sus arquitecturas, existe la necesidad de usar varios exploits para obtener acceso de root”. Esto se evidencia en una investigación de la firma Lookout, que detalló varias herramientas de vigilancia Android utilizadas para apuntar a la población étnica uigur en China durante muchos años. “Las cadenas de explotación pueden apuntar a equipos informáticos tradicionales, pero a menudo busca errores humanos. Por ejemplo, muchos ataques ransomware, una vez dentro del perímetro, se involucran en movimientos laterales o usan PowerShell, lo que podría darles la necesidad de usar otro exploit para escalar privilegios.
Explotar cadenas dirigidas a navegadores
En este aspecto, Tyler Reguly, investigador de Tripwire, cita a los atacantes que utilizan correos electrónicos de phishing para dirigir a los usuarios a las páginas web antes de lanzar ataques para explotar las brechas de su navegador. Luego, estos se encadenan con una segunda vulnerabilidad para realizar un escape de la zona de pruebas, seguido de una escalada de privilegios. A partir de ahí, los atacantes quieren aprovechar las vulnerabilidades para extenderse por la red y en sistemas específicos.
Prevención de ataques en cadena de exploits
Cuando se trata de mitigar el riesgo de un ataque en cadena de exploits, Reguly cree que lo más importante es recordar que puede romper cualquier eslabón de la cadena. “Es posible que ya se hayan producido algunos daños, pero romper cualquier vínculo evita males mayores”. Un programa de ciberseguridad sólido y maduro implementará técnicas, tecnologías y personal que pueden romper todos estos eslabones, proporcionando el máximo posible de protección.
“Si eso no es posible en una organización, pensar en la cadena de muerte cibernética y en los puntos en los que se puede detener es la mejor opción”. Si bien una cadena de exploits puede parecer desalentadora en concepto, si hay algo que se puede detectar se obtendrá visibilidad del problema para poder abordarlo.
