El volumen de vulnerabilidades de día cero detectadas por Google aumentó en más del 50% entre 2022 y 2023, y los errores en componentes de terceros van en aumento, dijo el gigante tecnológico. Google reveló los hallazgos en su revisión del año 2023, Estamos todos juntos en esto, que combinó los hallazgos de su Grupo de análisis de amenazas (TAG) y los equipos de investigación de Mandiant. Descubrieron un total de 97 días cero en 2023, apenas por debajo del récord de 106 detectados en 2021. El informe afirmó que los proveedores de plataformas de usuario final como Apple, Google y Microsoft han realizado «inversiones notables» para reducir la cantidad de amenazas de días cero explotables. los actores pueden encontrar, haciendo que ciertos tipos sean “prácticamente inexistentes” hoy en día. Lea más sobre los días cero: Google soluciona el sexto error de día cero del año en Chrome. Sin embargo, no ocurre lo mismo con las tecnologías centradas en la empresa, donde Google observó un aumento interanual del 64 % en días cero y un aumento general en el número de proveedores a los que se dirige desde al menos 2019. Afirmó haber detectado un problema particular. centrarse en software y dispositivos de seguridad durante el año pasado. «En el lado empresarial, vemos una variedad más amplia de proveedores y productos objetivo, y un aumento en la explotación de tecnologías específicas de la empresa», señala el informe. “A lo largo de los años, hemos aprendido que cuanto más rápido descubrimos y corregimos los errores de los atacantes, más corta será la vida útil del exploit y más les costará a los atacantes mantener sus capacidades. Nosotros, como industria, ahora debemos aprender cómo tomar esas lecciones aprendidas y aplicarlas al ecosistema más amplio de proveedores que ahora se encuentran bajo ataque”. Conclusiones clave de Google Otras tendencias notables en el informe incluyen: Los atacantes están cambiando su enfoque hacia bibliotecas y componentes de terceros ya que «la explotación de este tipo de vulnerabilidad puede escalar hasta afectar a más de un producto». Las empresas comerciales de software espía fueron responsables del 75% de cero días dirigidos a productos de Google y dispositivos del ecosistema Android en 2023, y el 60% de los días cero en navegadores y dispositivos móviles en general China fue responsable de más días cero impulsados ​​por el gobierno que cualquier otro estado en 2023: 12 actores con motivación financiera representaron solo 10 días cero días, menos que el número observado en 2022 Leer más: Una guía sobre vulnerabilidades y exploits de día cero para los no iniciados

Source link