Llevamos varias semanas con las vulnerabilidades Meltdown y Spectre sobre la mesa, aproximadamente un mes, y en este tiempo todavía es difícil asegurar que haya equipos afectados totalmente inmunes. Se han lanzado actualizaciones, algunas han salido mal, se continúa trabajando y los parches difundidos que sí funcionan, en la medida de lo posible, intentan cumplir su función.
Paralelamente, por desgracia, los amigos de las maldades en la red también se han puesto a trabajar y diversos investigadores en seguridad han dado la voz de alarma: se están detectado muestras de malware que buscan aprovechar estos fallos y pronto puede que entren en acción. El número de ejemplos maliciosos, como es lógico dado el potencial de un ataque exitoso, aumenta día a día.
La mayoría del malware detectado se basa en la prueba de concepto liberada
Hace solamente unos días, la firma de seguridad informática y de investigación de antivirus AV-TEST, señalaba que hasta el 23 de enero habían descubierto 119 muestreos que parecen estar relacionados con los fallos conocidos como Meltdown (CVE-2017-5754) y Spectre (CVE-2017-5715, CVE-2017-5753). Un día después, en declaraciones a SecurityWeek.Com, la cifra se elevaba a 139. Unas jornadas antes, el 17 de enero, tenían contabilizados solamente 77 ejemplos.
Fortinet, otra importante multinacional dedicada a la ciberseguridad, explicaba en su informe de amenazas para el segundo trimestre de 2017 que según sus datos un 90 % de las empresas registraron explotaciones de vulnerabilidades que tenían tres o más años de antigüedad y que, incluso después de la divulgación de un error, el 60 % de las compañías todavía sufrían ataques relacionados. Los riesgos son evidentes.
El ritmo al que la comunidad ciberdelictiva se está dirigiendo a las vulnerabilidades conocidas se está acelerando claramente, con las hazañas de WannaCry y NotPetya sirviendo como ejemplos perfectos de la necesidad de parchear los sistemas vulnerables lo antes posible.
La firma, ahora, explica que han analizado todas las muestras disponibles al público de programas maliciosos que explotan estas vulnerabilidades de los procesadores —lo que representa un 83 % del total de muestras capturadas— y han determinado que todas ellas se basaban en las pruebas de concepto liberadas tras la divulgación del problema. "El otro 17 % puede que no se haya compartido públicamente porque estaban bajo un acuerdo de confidencialidad o no estaban disponibles por razones desconocidas para nosotros", precisan.
El CEO de AV-TEST, en conversación con SecurityWeek.Com, confirmaba que la mayoría parecían ser versiones recompiladas o extendidas de las PoC y que iban dirigidas a plataformas como Windows, Linux y macOS, así como a los navegadores Chrome, Firefox e Internet Explorer.
En cualquier caso, algunos expertos apuntan a que estas muestras de malware se limitan de momento a pruebas e investigaciones, probablemente hechas por responsables de seguridad informática o investigadores. "En realidad, aún no he visto muestras reales", decía a Bleeping Computer el cofundador y vicepresidente de investigación de Minerva Labs, Omri Moyal.
Aunque parte de ellas también podrían atribuirse a ciberdelincuentes a la vista del aprovechamiento que se ha hecho de exploits anteriores, como EternalBlue, y de todo lo que pueden obtener con Meltdown y Spectre. Desde contraseñas almacenadas en un administrador de credenciales o un navegador, hasta fotos personales, correos electrónicos, mensajes instantáneos e incluso documentos críticos para un negocio.
En Genbeta | En qué se diferencian Meltdown y Spectre, las graves vulnerabilidades que afectan a los procesadores modernos
Ver 1 comentarios