Advarer om udnyttelse af offentligt tilgængelige 0-dages sårbarheder

Af Eskil Sørensen, 07/11/22

Microsofts Digital Defense Report 2022 er på gaden.

Microsofts årlige Digital Defense Report er udgivet med en advarsel om en stigning blandt nationalstater og kriminelle aktører, der i stigende grad udnytter offentliggjorte 0-dagssårbarheder.

Rapporten udkom i sidste uge, og den er refereret i flere medier, der hver har sin vinkel på omtalen af rapporten. The Hacker News fokuserer i sin omtale i udnyttelse af sårbarheder – og hæfter sig ved Microsofts observationer om, at der ses en reduktion i tiden mellem en sårbarheds annoncering og kommercialiseringen af sårbarheden – altså at indtil indsigt udnyttelsen af sårbarheden fx i form af en tilgængelig exploit-kode bliver sat til salg.

Microsoft hæfter sig ved, at det i gennemsnit kun tager 14 dage efter offentlig afsløring af en fejl til en udnyttelse er tilgængelig in-the-wild. Det tilføjes, at ’..selvom 0-dages angreb oprindeligt er begrænset i omfang, har de en tendens til hurtigt at blive adopteret af andre trusselsaktører.’ Og altså udnyttet.

Dette fører til vilkårlige hændelser, forstået som hændelser som er gjort mulig fordi en cyberkriminel mere eller mindre tilfældig opdager et sårbart system i en virksomhed eller myndighed, fx. som følge af en sårbarhedsscanning. Og så udnytter sårbarhederne, før patchene installeres. Særligt skulle kinesiske statssponserede grupper være ’dygtige’ til at opdage og udvikle metoder til udnyttelse af 0-dagssårbarheder.

Kina har sat sårbarhedsrapportering i system

Stigningen i udnyttelsen af 0-dagssårbarheder harmonerer også med en advarsel, som CISA kom med i april i år, hvor det hedder, at trusselaktører 'aggressivt' går efter at udnytte nyligt afslørede softwarefejl mod brede mål.

The Hacker News tilføjer til denne kinesiske vinkel, at Cyberspace Administration of China (CAC) i en forordning fra september 2021 har krævet , at sikkerhedsfejl skal rapporteres til regeringen, før de deles med produktudviklerne. Altså en metode til at omgå de bug bounty-politikker, som mange producenter har sat i værk for at animere researchere til at sælge indsigt i sårbarheden til producenteren frem for at udbyde dem til salg til cyberkriminelle.

Dette, tilføjer Microsoft, at det gør det muligt for regeringsstøttede grupper at have indsigt i sårbarheder 'på lager' og fx. bruge dem til spionageaktiviteter.

Hvilket CISA også har advaret om for nyligt, da Kinas statssponserede cyberaktiviteter blev udpeget til til at være en af de største trusler mod USA's regering og civile netværk.