Af Eskil Sørensen, 19/05/21
En ny undersøgelse fra Trend Micro viser, at Microsoft-produkter tegnede sig for 47 pct. af de CVE'er, som cyberkriminelle efterspørger på tværs af underjordiske darkweb-fora. Det skriver mediet Dark Reading i en artikel, som er refereret i Computerworld.
Undersøgelsen har gennemgået mere end 600 engelsk- og russiskesprogede fora, hvor oplysninger om exploits knyttet til de forskellige CVE-numre bliver omsat. Selve undersøgelsen blev præsenteret af Trend Micro på RSA-konferencen på et indlæg med titlen: "Tales from the Underground: The Sulnerability Weaponization Lifecycle."
Et CVE-nummer er det unikke id, som en opdaget sårbarhed eller softwarefejl får af de myndigheder, der udsteder CVE-numrene.
Hvad omsættes?
Formålet med undersøgelsen var at finde ud af, hvilke exploits der blev solgt og efterspurgt, hvilke typer sælgere og købere, der var involveret i transaktioner osv.
Ved at undersøge reklamer for salg af exploits fra januar 2019 til december 2020 fandt researcherne ud af, at Microsofts værktøjer og tjenester udgjorde 47% af alle anmodede CVE'er på undergrundsfora, mens IoT-produkter kun udgjorde fem pct. Men TrendMicro forventer at dette tal stiger, når flere tilsluttede enheder med 5G kommer ind på markedet.
Hvad angår posts og indlæg som reklamede for exploits, omhandlede 61 pct. af dem Microsoft-produkter. Den højeste procentdel (31 pct) vedrørte Microsoft Office, 15 pct. Microsoft Windows, 10 pct. Internet Explorer og 5 pct. vedrørte Microsoft Remote Desktop Protocol. Exploits til Office og Adobe var mest almindelige i engelsksprogede fora.
To år gamle exploits mest populære
Mere end halvdelen (52 pct.) af de anmodede exploits var under to år gamle. Købere var villige til at betale i gennemsnit 2.000 dollar for exploits; nogle tilbød ifølge Dark Reading helt op til 10.000 dollar for 0-dagssårbarheder rettet mod Microsoft-produkter.
Trend Micro har også set eksempler på, hvordan der anmodes om hjælp til udnyttelse af specifikke sårbarheder, ligesom der peges på, at der er sammenfald mellem det, der efterspørges og det, der tilbydes. Fx udgjorde Word og Excel 46 pct. af de efterspurgte exploits, mens 52 pct. var knyttet til annoncering af exploits af disse produkter.
Alt i alt peger det på, at der er en sammenhæng mellem udbud og efterspørgsel, og at begge forhold er betinget af udbredelsen af produkterne. Jo flere brugere af produkterne, jo bedre kan det betale sig at udvikle og sælge sårbarhedsexploits, fordi der er et større marked for omsætning mod dem, der ønsker at udnytte de udbudte exploits. Og for dem, der ønsker at udnytte de udbudte exploits, er villigheden til at betale for dem større, fordi investeringen nemmere kommer hjem i kraft af den høje anvendelse.