De acuerdo con el documento de reciente publicación ESET Security Report 2015, que muestra un panorama del estado de la seguridad corporativa en Latinoamérica, la principal preocupación relacionada con la seguridad de la información en las empresas de la región (68% de los encuestados), tiene que ver con las vulnerabilidades asociadas al software y los sistemas informáticos.
Lo anterior también se encuentra relacionado con lo plasmado en el informe de “Tendencias 2015: El mundo corporativo en mira”, que señala a 2014 como el año más importante en cuanto a las vulnerabilidades de software, no solo por el impacto que han causado en los sistemas afectados, sino también por la magnitud de los sistemas involucrados, lo que queda de manifiesto con los casos de Heartbleed, Shellshock y Poodle, por mencionar los más conocidos.
Lo anterior sería menos grave si de forma paralela no se desarrollaran programas diseñados de forma específica para aprovecharse de estas fallas, conocidos como exploits. En esta entrega abordaremos la relación entre las vulnerabilidades, el malware y los exploits en empresas, es decir, herramientas utilizadas por los ciberdelincuentes para lucrar con los errores en los sistemas o aplicaciones.
Relación entre malware, exploits y exploit kits
Sin importar el tamaño de las organizaciones, la industria a la que pertenecen o si se trata de una empresa pública o privada, casi el 70% de los encuestados en el ESET Security Report, coincidió en que las vulnerabilidades en el software se han convertido en la principal inquietud. Dichos “agujeros de seguridad” pueden traducirse en incidentes de seguridad cuando algún atacante cuenta con los exploits necesarios para hacer uso indebido de alguna falla.
En este espacio, hemos hablado con anterioridad de la diferencia entre un exploit y el malware, enfatizando que si bien el exploit es un programa o script que busca aprovechar un error en el diseño o programación de un sistema o aplicación, por sí mismo no es malicioso, aunque suele ser utilizado como un componente dentro de un código malicioso para realizar acciones de esta índole, por ejemplo, obtener acceso no autorizado a un sistema o para escalar privilegios. De esta manera, diversos tipos de malware se valen de exploits para aprovecharse de las vulnerabilidades y así lograr su propósito.
A partir de lo anterior, se han desarrollado herramientas que automatizan la explotación de vulnerabilidades en los sistemas, mejor conocidos como exploits kits (o también llamados exploit packs), que generalmente cuenta con una interfaz gráfica para su uso y con un conjunto de exploits para objetivos vulnerables específicos.
Por lo anterior, una característica básica del exploit pack es que permite la realización de ataques con relativa facilidad, debido a que el atacante puede afectar los sistemas sin la necesidad de contar con los conocimientos técnicos necesarios para desarrollar scripts de explotación propios, principalmente porque el conjunto de exploits suele ser ofertado y adquirido en mercados clandestinos.
Desarrollo y evolución del malware y los kits de explotación
Hemos revisado la relación entre los exploits y el malware, sin embargo este binomio se vuelve más estrecho con los exploit kits, ya que éstos suelen ser utilizados como una plataforma para la entrega de una carga efectiva (payload), es decir, la ejecución de algún tipo de código malicioso, luego de la explotación de la vulnerabilidad.
En este contexto, el primer registro que se tiene sobre un exploit kit se remonta al año 2006, cuando se conoció WebAttacker, identificado en el mercado clandestino ruso. Posteriormente se supo de Mpack, utilizado para diseminar malware en los equipos de usuarios que visitaban páginas Web y que contaban con vulnerabilidades en su navegador o sistema operativo.
Con la evolución de las medidas de protección contra estas amenazas, en busca de mantener su vigencia y tener una mayor efectividad en los ataques, las nuevas versiones de códigos malicioso y kits de exploits, incluyen características orientadas a la detección de soluciones antivirus o de virtualización, con el objetivo de evadir estas herramientas.
Además, comienzan a utilizar otras técnicas como la ofuscación para proteger los archivos de exploits, generalmente aplicada para evitar la detección de la carga maliciosa. Por estas razones, seguimos conociendo de distintos casos de infecciones masivas por malware, en las cuales están directamente relacionadas los exploit kits, como es el caso de Phoenix o Fiesta.
Medidas de protección contra el conjunto de amenazas
La efectividad de los exploit kits depende en gran medida de los programas con los que cuenta para aprovecharse de las vulnerabilidades conocidas que pueden ser corregidas y también para las cuales todavía no existe un parche de seguridad (0-day).
Por lo tanto, un exploit para una nueva vulnerabilidad puede conducir a mayores niveles de infección por códigos maliciosos, ya que probablemente no se cuenta con una actualización que corrija la falla. En otras palabras, con el propósito de contar con una alta tasa de infección, los desarrolladores de malware y exploit packs deben mantener continuamente actualizada su plataforma, incorporando programas enfocados a la explotación de nuevas vulnerabilidades.
En este sentido, la tarea básica para mitigar los riesgos relacionados con las vulnerabilidades y los exploits, son las actualizaciones y las correcciones de seguridad. Dentro de las organizaciones se ha convertido en una necesidad el uso de herramientas para la identificación, análisis y evaluación de vulnerabilidades en el software y hardware empleado, seguido de la aplicación de las correcciones correspondientes.
Finalmente, es necesario contar con desarrollos específicos contra estas amenazas dentro de las empresas, como una solución de seguridad que permita el bloqueo de los programas maliciosos, así como la protección contra ataques diseñados de forma específica para evadir la detección antivirus o amenazas enfocadas en vulnerabilidades en software ampliamente utilizado que se ha convertido en un objetivo común para los atacantes.