Un equipo de investigadores de Virginia Tech, Cyentia e RAND,
Non obstante, non se atopou ningunha correlación entre a publicación de prototipos de exploit no dominio público e os intentos de explotar a vulnerabilidade. De todos os feitos de explotación de vulnerabilidades coñecidos polos investigadores, só na metade dos casos para o problema era un prototipo do exploit publicado anteriormente en fontes abertas. A falta dun prototipo de exploit non impide aos atacantes, que, se é necesario, crean exploits por si mesmos.
Outras conclusións inclúen a demanda de explotación principalmente de vulnerabilidades que presentan un alto nivel de perigo segundo a clasificación CVSS. Case a metade dos ataques utilizaron vulnerabilidades cun peso de polo menos 9.
O número total de prototipos de exploit publicados durante o período analizado estimouse en 9726. Os datos sobre os exploits utilizados no estudo foron obtidos
coleccións Exploit DB, Metasploit, Elliot Kit de D2 Security, Canvas Exploitation Framework, Contagio, Reversing Labs e Secureworks CTU.
Obtívose información sobre vulnerabilidades da base de datos
O estudo realizouse para determinar o equilibrio óptimo entre aplicar actualizacións para identificar as vulnerabilidades e eliminar só os problemas máis perigosos. No primeiro caso, garante unha alta eficiencia de protección, pero son necesarios grandes recursos para manter a infraestrutura, que se gastan principalmente en corrixir problemas sen importancia. No segundo caso, existe un alto risco de perder unha vulnerabilidade que se pode utilizar para un ataque. O estudo demostrou que cando se decide instalar unha actualización que elimine unha vulnerabilidade, non se debe confiar na falta dun prototipo de exploit publicado e as posibilidades de explotación dependen directamente do nivel de gravidade da vulnerabilidade.
Fonte: opennet.ru