Explotar (seguridad informática)

Comprometer un sistema informático

Un exploit (del verbo inglés explotar , que significa "usar algo en beneficio propio") es una pieza de software , un fragmento de datos o una secuencia de comandos que aprovecha un error o vulnerabilidad para causar daños no deseados o imprevistos. Comportamiento que ocurre en software , hardware o algo electrónico (generalmente computarizado). ^[1] Este comportamiento incluye con frecuencia cosas como obtener el control de un sistema informático, permitir una escalada de privilegios o un ataque de denegación de servicio (DoS o DDoS relacionado) . En términos sencillos, algún exploit es similar a un ' hack '.

Clasificación

Existen varios métodos para clasificar los exploits. El más común es la forma en que el exploit se comunica con el software vulnerable.

Un exploit remoto funciona a través de una red y explota la vulnerabilidad de seguridad sin ningún acceso previo al sistema vulnerable.

Un exploit local requiere acceso previo al sistema vulnerable y generalmente aumenta los privilegios de la persona que ejecuta el exploit más allá de los otorgados por el administrador del sistema. También existen exploits contra aplicaciones cliente, que generalmente consisten en servidores modificados que envían un exploit si se accede a ellos con una aplicación cliente. Una forma común de exploits contra aplicaciones cliente son los exploits del navegador .

Los exploits contra aplicaciones cliente también pueden requerir cierta interacción con el usuario y, por lo tanto, pueden usarse en combinación con el método de ingeniería social . Otra clasificación es por la acción contra el sistema vulnerable; el acceso no autorizado a datos, la ejecución de código arbitrario y la denegación de servicio son ejemplos.

Muchos exploits están diseñados para proporcionar acceso a nivel de superusuario a un sistema informático. Sin embargo, también es posible utilizar varios exploits, primero para obtener acceso de bajo nivel y luego para escalar privilegios repetidamente hasta alcanzar el nivel administrativo más alto (a menudo llamado "root"). En este caso, el atacante encadena varios exploits para realizar un ataque, esto se conoce como cadena de exploits.

Una vez que los autores del software afectado conocen un exploit, la vulnerabilidad suele solucionarse mediante un parche y el exploit queda inutilizable. Esta es la razón por la que algunos hackers de sombrero negro , así como hackers militares o de agencias de inteligencia, no publican sus hazañas sino que las mantienen en privado.

Los exploits desconocidos para todos, excepto para las personas que los encontraron y desarrollaron, se denominan exploits de día cero o “día 0” .

Los piratas informáticos utilizan los exploits para eludir los controles de seguridad y manipular las vulnerabilidades del sistema . Los investigadores han estimado que esto cuesta más de 450 mil millones de dólares cada año a la economía mundial. En respuesta, las organizaciones están utilizando inteligencia sobre amenazas cibernéticas para proteger sus vulnerabilidades. ^[2]

Tipos

Las explotaciones se clasifican y denominan comúnmente ^{[3] [4]} según el tipo de vulnerabilidad que explotan (consulte las vulnerabilidades para obtener una lista), si son locales o remotas y el resultado de ejecutar la explotación (por ejemplo, EoP , DoS , suplantación de identidad ). Un esquema que ofrece exploits de día cero es el exploit como servicio . ^[5]

Cero clic

Un ataque sin clic es un exploit que no requiere interacción del usuario para operar, es decir, sin presionar teclas ni hacer clic con el mouse. ^[6] FORCEDENTRY , descubierto en 2021, es un ejemplo de ataque sin clic. ^{[7] [8]}

Estos exploits suelen ser los más buscados (específicamente en el mercado clandestino de exploits) porque el objetivo normalmente no tiene forma de saber que han sido comprometidos en el momento de la explotación.

En 2022, se informó que NSO Group vendía exploits sin clic a gobiernos para acceder a los teléfonos de las personas. ^[9]

Pivotando

Pivotar es un método utilizado por piratas informáticos y evaluadores de penetración para ampliar la superficie de ataque de una organización objetivo. Un sistema comprometido para atacar otros sistemas en la misma red a los que no se puede acceder directamente desde Internet debido a restricciones como el firewall ^{[ aclaración necesaria ]} . Suele haber más máquinas accesibles desde dentro de una red en comparación con hosts conectados a Internet. Por ejemplo, si un atacante compromete un servidor web en una red corporativa, puede utilizar el servidor web comprometido para atacar cualquier sistema accesible en la red. Estos tipos de ataques suelen denominarse ataques de varias capas. Pivotar también se conoce como salto de isla en isla .

La pivotación se puede distinguir además entre pivotación de proxy y pivotación de VPN :

• El pivote de proxy es la práctica de canalizar el tráfico a través de un objetivo comprometido utilizando una carga útil de proxy en la máquina y lanzando ataques desde la computadora. ^[10] Este tipo de pivotación está restringido a ciertos puertos TCP y UDP que son compatibles con el proxy.

• La pivotación de VPN permite al atacante crear una capa cifrada para hacer un túnel hacia la máquina comprometida y enrutar cualquier tráfico de red a través de esa máquina de destino, por ejemplo, para ejecutar un escaneo de vulnerabilidades en la red interna a través de la máquina comprometida, dándole al atacante acceso completo a la red. como si estuvieran detrás del firewall.

Normalmente, las aplicaciones proxy o VPN que permiten la pivotación se ejecutan en la computadora de destino como carga útil de un exploit.

El pivoteo generalmente se realiza infiltrándose en una parte de una infraestructura de red (como por ejemplo, una impresora o un termostato vulnerable) y usando un escáner para encontrar otros dispositivos conectados para atacarlos. Al atacar una parte vulnerable de la red, un atacante podría infectar la mayor parte o la totalidad de la red y obtener el control total.

Ver también

• La seguridad informática
• Virus de computadora
• software criminal
• kit de explotación
• Hacking: El arte de la explotación (segunda edición)
• riesgo de TI
• metasploit
• código shell
• w3af

Notas

1. "explotar - Definición". www.trendmicro.com . Consultado el 4 de septiembre de 2021 .
2. Universidad de Indiana, Bloomington; Samtani, Sagar; Chai, Yidong; Universidad Tecnológica de Hefei; Chen, Hsinchun; Universidad de Arizona (24 de mayo de 2022). "Vinculación de exploits de la Dark Web con vulnerabilidades conocidas para una inteligencia proactiva contra amenazas cibernéticas: un modelo semántico estructurado profundo basado en la atención". MIS trimestral . 46 (2): 911–946. doi : 10.25300/MISQ/2022/15392.
3. "Explota la base de datos mediante seguridad ofensiva". www.exploit-db.com .
4. "Explotar base de datos | Rapid7". www.rapid7.com .
5. Leyden, J. (16 de noviembre de 2021). "Explotación como servicio: ciberdelincuentes explorando el potencial de aprovechar vulnerabilidades de día cero". PortSwigger Ltd. Consultado el 18 de diciembre de 2023 .
6. "Los ataques furtivos sin clic son una amenaza oculta". Cableado . ISSN  1059-1028 . Consultado el 14 de septiembre de 2021 .
7. "Los trucos sigilosos de iPhone que Apple aún no puede detener". Cableado . ISSN  1059-1028 . Consultado el 14 de septiembre de 2021 .
8. "Un nuevo ataque sin clic de NSO evade las protecciones de seguridad del iPhone de Apple, dice Citizen Lab". TechCrunch . 24 de agosto de 2021 . Consultado el 14 de septiembre de 2021 .
9. Ryan Gallagher (18 de febrero de 2022). "Cuidado con los hacks de 'clic cero' que aprovechan las fallas de seguridad en los sistemas operativos de los teléfonos". Diario de seguros .
10. "Conceptos básicos de Metasploit - Parte 3: Pivotación e interfaces". Bono Digital .

enlaces externos

• Medios relacionados con exploits de seguridad informática en Wikimedia Commons