Exploit (seguridad informática)

Método de ataque a los sistemas informáticos

Un exploit es un método o fragmento de código que aprovecha vulnerabilidades en software , aplicaciones , redes , sistemas operativos o hardware , generalmente con fines maliciosos. El término "exploit" deriva del verbo inglés "to exploit", que significa "utilizar algo para beneficio propio". Los exploits están diseñados para identificar fallas, eludir medidas de seguridad, obtener acceso no autorizado a sistemas, tomar el control de sistemas, instalar malware o robar datos confidenciales . Si bien un exploit en sí mismo puede no ser un malware , sirve como vehículo para distribuir software malicioso al violar los controles de seguridad . ^{[1] [2] [3] [4]}

Los exploits se dirigen a las vulnerabilidades, que son esencialmente fallas o debilidades en las defensas de un sistema. Los objetivos comunes de los exploits incluyen sistemas operativos , navegadores web y varias aplicaciones , donde las vulnerabilidades ocultas pueden comprometer la integridad y seguridad de los sistemas informáticos . Los exploits pueden causar un comportamiento no deseado o imprevisto en los sistemas, lo que puede conducir a graves violaciones de seguridad . ^{[5] [6]}

Muchos exploits están diseñados para proporcionar acceso de nivel de superusuario a un sistema informático. Los atacantes pueden utilizar varios exploits en sucesión para obtener primero acceso de bajo nivel y luego escalar privilegios repetidamente hasta llegar al nivel administrativo más alto, a menudo denominado "root". Esta técnica de encadenar varios exploits para realizar un único ataque se conoce como cadena de exploits.

Los exploits que permanecen desconocidos para todos, excepto para las personas que los descubrieron y desarrollaron, se conocen como exploits de día cero o "0day". Después de que un exploit se revela a los autores del software afectado, la vulnerabilidad asociada a menudo se corrige mediante un parche , lo que hace que el exploit sea inutilizable. Esta es la razón por la que algunos hackers de sombrero negro , así como hackers militares o de agencias de inteligencia, no publican sus exploits, sino que los mantienen privados. Un esquema que ofrece exploits de día cero se conoce como exploit como servicio . ^[7]

Los investigadores estiman que las vulnerabilidades maliciosas cuestan a la economía mundial más de 450 mil millones de dólares al año. En respuesta a esta amenaza, las organizaciones utilizan cada vez más la inteligencia sobre amenazas cibernéticas para identificar vulnerabilidades y prevenir ataques antes de que ocurran. ^[8]

Clasificación

Existen varios métodos para clasificar los exploits. El más común es según la forma en que el exploit se comunica con el software vulnerable.

Un exploit remoto funciona a través de una red y explota la vulnerabilidad de seguridad sin ningún acceso previo al sistema vulnerable.

Un exploit local requiere acceso previo o acceso físico al sistema vulnerable y, por lo general, aumenta los privilegios de la persona que ejecuta el exploit más allá de los otorgados por el administrador del sistema. También existen exploits contra aplicaciones cliente, que generalmente consisten en servidores modificados que envían un exploit si se accede a ellos con una aplicación cliente. Una forma común de exploits contra aplicaciones cliente son los exploits del navegador . Los exploits contra aplicaciones cliente también pueden requerir cierta interacción con el usuario y, por lo tanto, pueden usarse en combinación con el método de ingeniería social .

Otra clasificación es por la acción contra el sistema vulnerable; acceso no autorizado a datos, ejecución de código arbitrario y denegación de servicio son ejemplos.

Las explotaciones se clasifican y nombran comúnmente ^{[9] [10]} por el tipo de vulnerabilidad que explotan (ver vulnerabilidades para obtener una lista) ^{[ aclaración necesaria ]} , si son locales/remotas y el resultado de ejecutar la explotación (por ejemplo , EoP , DoS , suplantación de identidad ).

Cero clic

Un ataque de clic cero es un exploit que no requiere interacción del usuario para funcionar, es decir, no se necesitan pulsaciones de teclas ni clics del mouse. ^[11] FORCEDENTRY , descubierto en 2021, es un ejemplo de un ataque de clic cero. ^{[12] [13]}

Estos exploits son comúnmente los más buscados (específicamente en el mercado clandestino de exploits) porque el objetivo generalmente no tiene forma de saber que ha sido comprometido en el momento de la explotación.

En 2022, se informó que NSO Group vendía exploits de cero clic a los gobiernos para ingresar a los teléfonos de las personas. ^[14]

Pivotando

El pivoteo es una técnica que emplean tanto los piratas informáticos como los evaluadores de penetración para ampliar su acceso dentro de una red objetivo. Al comprometer un sistema, los atacantes pueden aprovecharlo como plataforma para atacar otros sistemas que normalmente están protegidos del acceso externo directo por cortafuegos . Las redes internas suelen contener una gama más amplia de máquinas accesibles en comparación con las expuestas a Internet. Por ejemplo, un atacante puede comprometer un servidor web en una red corporativa y luego utilizarlo para atacar otros sistemas dentro de la misma red. Este enfoque a menudo se conoce como ataque de múltiples capas. El pivoteo también se conoce como salto de isla .

El pivoteo se puede dividir además en pivoteo de proxy y pivoteo de VPN :

• El pivoteo de proxy es la práctica de canalizar el tráfico a través de un objetivo comprometido utilizando una carga útil de proxy en la máquina y lanzando ataques desde la computadora. ^[15] Este tipo de pivoteo está restringido a ciertos puertos TCP y UDP que son compatibles con el proxy.

• La pivotación de VPN permite al atacante crear una capa cifrada para hacer un túnel hacia la máquina comprometida y enrutar cualquier tráfico de red a través de esa máquina de destino, por ejemplo, para ejecutar un análisis de vulnerabilidad en la red interna a través de la máquina comprometida, lo que efectivamente le da al atacante acceso completo a la red como si estuviera detrás del firewall.

Normalmente, las aplicaciones proxy o VPN que permiten el pivoteo se ejecutan en la computadora de destino como carga útil de un exploit.

El pivoteo se realiza generalmente infiltrándose en una parte de la infraestructura de red (por ejemplo, una impresora o un termostato vulnerables) y utilizando un escáner para encontrar otros dispositivos conectados y atacarlos. Al atacar una parte vulnerable de la red, un atacante podría infectar la mayor parte o la totalidad de la red y obtener el control total.

Véase también

• Seguridad informática
• Virus informático
• Software contra el delito
• Kit de explotación
• Hacking: el arte de la explotación (segunda edición)
• Riesgo de TI
• Metasploit
• Código Shell
• w3af

Notas

1. Latto, Nica (2020-09-29). "Exploits: lo que necesita saber". Exploits: lo que necesita saber . Archivado desde el original el 2024-05-15 . Consultado el 2024-08-12 . Un exploit es cualquier ataque que se aprovecha de las vulnerabilidades en aplicaciones, redes, sistemas operativos o hardware. Los exploits suelen adoptar la forma de software o código que tiene como objetivo tomar el control de las computadoras o robar datos de la red.
2. "¿Qué es un exploit?". Cisco . 2023-10-06. Archivado desde el original el 2024-05-31 . Consultado el 2024-08-12 . Un exploit es un programa, o fragmento de código, diseñado para encontrar y aprovechar una falla o vulnerabilidad de seguridad en una aplicación o sistema informático, normalmente con fines maliciosos, como instalar malware. Un exploit no es malware en sí mismo, sino un método utilizado por los ciberdelincuentes para distribuir malware.
3. Gonzalez, Joaquin Jay III; Kemp, Roger L. (25 de enero de 2019). Ciberseguridad: escritos actuales sobre amenazas y protección. Jefferson, Carolina del Norte: McFarland & Company. p. 241. ISBN 978-1-4766-3541-5. Una técnica para violar la seguridad de una red o sistema de información violando la política de seguridad.
4. "Prácticas de codificación segura de OWASP". Fundación OWASP . Archivado desde el original el 6 de enero de 2024. Consultado el 12 de agosto de 2024. Aprovechar una vulnerabilidad. Normalmente, se trata de una acción intencional diseñada para comprometer los controles de seguridad del software aprovechando una vulnerabilidad.
5. "Definición de exploit". Malwarebytes . 2024-04-15. Archivado desde el original el 2024-05-16 . Consultado el 2024-08-12 . Un exploit informático es un tipo de malware que se aprovecha de errores o vulnerabilidades, que los cibercriminales utilizan para obtener acceso ilícito a un sistema. Estas vulnerabilidades están ocultas en el código del sistema operativo y sus aplicaciones esperando a ser descubiertas y utilizadas por los cibercriminales. El software que se explota con más frecuencia incluye el propio sistema operativo, los navegadores, Microsoft Office y aplicaciones de terceros.
6. "Obtener capacidades: exploits, subtécnica T1588.005". MITRE ATT&CK® . 15 de octubre de 2020. Archivado desde el original el 24 de mayo de 2024 . Consultado el 12 de agosto de 2024 . Los adversarios pueden comprar, robar o descargar exploits que se pueden utilizar durante la selección de objetivos. Un exploit aprovecha un error o una vulnerabilidad para provocar un comportamiento no deseado o imprevisto en el hardware o el software de la computadora.
7. Leyden, J. (16 de noviembre de 2021). "Exploit-as-a-service: Cybercriminals exploran el potencial de alquilar vulnerabilidades de día cero". PortSwigger Ltd. Consultado el 18 de diciembre de 2023 .
8. Universidad de Indiana, Bloomington; Samtani, Sagar; Chai, Yidong; Universidad de Tecnología de Hefei; Chen, Hsinchun; Universidad de Arizona (24 de mayo de 2022). "Vincular exploits de la Dark Web con vulnerabilidades conocidas para inteligencia proactiva sobre ciberamenazas: un modelo semántico estructurado profundo basado en la atención". MIS Quarterly . 46 (2): 911–946. doi :10.25300/MISQ/2022/15392.
9. "Base de datos de exploits de Offensive Security". www.exploit-db.com .
10. "Base de datos de exploits | Rapid7". www.rapid7.com .
11. "Los ataques furtivos sin hacer clic son una amenaza oculta". Wired . ISSN  1059-1028 . Consultado el 14 de septiembre de 2021 .
12. "Los sigilosos ataques al iPhone que Apple aún no puede detener". Wired . ISSN  1059-1028 . Consultado el 14 de septiembre de 2021 .
13. "Un nuevo ataque de clic cero de NSO evade las protecciones de seguridad del iPhone de Apple, dice Citizen Lab". TechCrunch . 24 de agosto de 2021. Archivado desde el original el 24 de agosto de 2021 . Consultado el 14 de septiembre de 2021 .
14. Ryan Gallagher (18 de febrero de 2022). "Cuidado con los ataques de 'cero clic' que aprovechan fallos de seguridad en los sistemas operativos de los teléfonos". Insurance Journal .
15. "Conceptos básicos de Metasploit – Parte 3: Pivotamiento e interfaces". Digital Bond .

Enlaces externos

• Medios relacionados con Explosiones de seguridad informática en Wikimedia Commons