Microsoft đang cảnh báo về sự gia tăng giữa các tác nhân quốc gia-nhà nước và tội phạm ngày càng tận dụng các lỗ hổng zero-day được tiết lộ công khai để vi phạm môi trường mục tiêu.
Gã khổng lồ công nghệ, trong Báo cáo Phòng thủ Kỹ thuật số dài 114 trang, cho biết họ đã "quan sát thấy sự giảm thời gian giữa việc công bố lỗ hổng bảo mật và hàng hóa lỗ hổng đó", khiến các tổ chức bắt buộc phải vá các khai thác như vậy một cách kịp thời.
Điều này cũng chứng thực với lời khuyên vào tháng 4 nắm 2022 từ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA), phát hiện ra rằng những kẻ xấu đang "hung hăng" nhắm mục tiêu vào các lỗi phần mềm mới được tiết lộ nhằm vào các mục tiêu rộng lớn trên toàn cầu.
Microsoft lưu ý rằng trung bình chỉ mất 14 ngày để khai thác có sẵn trong tự nhiên sau khi tiết lộ công khai lỗ hổng, nói rằng mặc dù các cuộc tấn công zero-day ban đầu bị giới hạn về phạm vi, nhưng chúng có xu hướng nhanh chóng được các tác nhân đe dọa khác chấp nhận, dẫn đến các sự kiện thăm dò bừa bãi trước khi các bản vá được cài đặt.
Nó tiếp tục cáo buộc các nhóm được nhà nước Trung Quốc tài trợ là "đặc biệt thành thạo" trong việc phát hiện và phát triển khai thác zero-day.
Điều này càng trở nên phức tạp hơn bởi thực tế là Cục Quản lý Không gian mạng Trung Quốc (CAC) đã ban hành một quy định báo cáo lỗ hổng mới vào tháng 2021 năm XNUMX yêu cầu các lỗi bảo mật phải được báo cáo cho chính phủ trước khi chúng được chia sẻ với các nhà phát triển sản phẩm.
Redmond nói thêm rằng luật này có thể cho phép các phần tử được chính phủ hậu thuẫn dự trữ và vũ khí hóa các lỗi được báo cáo, dẫn đến việc tăng cường sử dụng zero-days cho các hoạt động gián điệp được thiết kế để thúc đẩy lợi ích kinh tế và quân sự của Trung Quốc.
Một số lỗ hổng lần đầu tiên được khai thác bởi các tác nhân Trung Quốc trước khi bị các nhóm đối thủ khác khai thác bao gồm:
- CVE-2021-35211 (điểm CVSS: 10.0) - Một lỗ hổng thực thi mã từ xa trong Máy chủ truyền tệp được quản lý SolarWinds Serv-U và phần mềm FTP an toàn Serv-U đã được khai thác bởi DEV-0322.
- CVE-2021-40539 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực trong Zoho ManageEngine ADSelfService Plus đã được khai thác bởi DEV-0322 (TiltedTemple).
- CVE-2021-44077 (điểm CVSS: 9.8) - Một lỗ hổng thực thi mã từ xa chưa được xác thực trong Zoho ManageEngine ServiceDesk Plus đã được khai thác bởi DEV-0322 (TiltedTemple).
- CVE-2021-42321 (điểm CVSS: 8.8) - Một lỗ hổng thực thi mã từ xa trong Microsoft Exchange Server đã được khai thác ba ngày sau khi nó được tiết lộ trong cuộc thi hackTianfu Cup vào ngày 16-17 tháng 10 năm 2021.
- CVE-2022-26134 (điểm CVSS: 9.8) - Một lỗ hổng tiêm ngôn ngữ điều hướng đồ thị đối tượng (OGNL) trong Hợp lưu Atlassian có khả năng đã được một tác nhân liên kết với Trung Quốc tận dụng để chống lại một thực thể Hoa Kỳ giấu tên vài ngày trước khi lỗ hổng được tiết lộ vào ngày 2 tháng 6.
Phát hiện này cũng được đưa ra gần một tháng sau khi CISA công bố danh sách các lỗ hổng hàng đầu được vũ khí hóa bởi các tác nhân có trụ sở tại Trung Quốc kể từ năm 2020 để đánh cắp tài sản trí tuệ và phát triển quyền truy cập vào các mạng nhạy cảm.
"Các lỗ hổng zero-day là một phương tiện đặc biệt hiệu quả để khai thác ban đầu và một khi bị lộ công khai, các lỗ hổng có thể nhanh chóng được sử dụng lại bởi các tác nhân tội phạm và nhà nước quốc gia khác," công ty cho biết.