Brud, der involverer phishing og kompromittering af legitimationsoplysninger, har fået meget opmærksomhed i de seneste år på grund af, hvor hyppigt trusselsaktører har brugt taktikken til at udføre både målrettede og opportunistiske angreb. Men det betyder ikke, at virksomhedsorganisationer har råd til at mindske deres fokus på sårbarhedspatch en smule.
En rapport fra Kaspersky i denne uge identificerede flere indledende indtrængen sidste år som følge af udnyttelse af sårbarheder i internetvendte applikationer end brud, der involverede ondsindede e-mails og kompromitterede konti kombineret. Og data, virksomheden har indsamlet gennem andet kvartal af 2022, tyder på, at den samme tendens også kan udspille sig i år.
Kasperskys analyse af 2021 hændelse-respons-data viste, at brud, der involverede sårbarhedsudnyttelse steg fra 31.5 % af alle hændelser i 2020 til 53.6 % i 2021. I samme periode faldt angreb forbundet med brugen af kompromitterede konti for at få indledende adgang fra 31.6 % i 2020 til 17.9. % sidste år. Indledende indtrængen som følge af phishing-e-mails faldt fra 23.7 % til 14.3 % i samme periode.
Exchange-serverfejl giver næring til udnyttelsesvanviddet
Kaspersky tilskrev, at stigningen i udnyttelsesaktivitet sidste år sandsynligvis var knyttet til de mange kritiske Exchange Server-sårbarheder, som Microsoft afslørede, inklusive et sæt på fire nul-dage i marts 2021 kendt som ProxyLogon fejl (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Når de var lænket sammen, tillod de angribere at få fuldstændig fjernkontrol over lokale Exchange-servere.
Angribere - som omfattede organiserede kriminelle bander og statssponserede grupper fra Kina - udnyttede hurtigt titusindvis af sårbare Exchange Server-systemer og tabte web-skaller på dem, før Microsoft kunne udstede en patch for fejlene. Sårbarhederne vakte betydelig bekymring på grund af deres allestedsnærværende og alvorlighed. De fik endda det amerikanske justitsministerium til at give FBI tilladelse til at tage det hidtil usete skridt proaktiv fjernelse af ProxyLogon Web-skaller fra servere, der tilhører hundredvis af organisationer - i de fleste tilfælde uden nogen meddelelse.
En anden trio af Exchange Server-sårbarheder drev også udnyttelsesaktiviteten i 2021 samlet mærket ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), som angribere brugte i vid udstrækning til at droppe ransomware og i virksomheds-e-mail-kompromis-angreb (BEC).
Mere end et år senere fortsætter ProxyLogon- og ProxyShell-sårbarhederne med at være mål for kraftig udnyttelsesaktivitet, siger Konstantin Sapronov, leder af Kasperskys Global Emergency Response Team. En af de mest alvorlige af disse fejl (CVE-2021-26855) har også været den mest målrettede. Kaspersky observerede, at sårbarheden - en del af ProxyLogon-sættet - blev udnyttet i 22.7 % af alle hændelser, der involverede sårbarhedsudnyttelser, som den reagerede på i 2021, og fejlen er fortsat en favorit blandt angribere også i år, ifølge Sapronov.
Samme udnyttelsestendens udspiller sig sandsynligvis i 2022
Selvom flere alvorlige sårbarheder er dukket op i år - inklusive allestedsnærværende Apache Log4j sårbarhed (CVE-2021-44228) — de mest udnyttede sårbarheder i 2021 forbliver også meget udbredt i 2022, siger Sapronov, selv ud over Exchange-serverfejlene. For eksempel identificerede Kaspersky en fejl i Microsofts MSHTML-browsermotor (CVE-2021-40444, patchet i september sidste år) som den mest hårdt angrebet sårbarhed i andet kvartal af 2022.
"Sårbarheder i populær software som MS Exchange Server og biblioteket Log4j har resulteret i et stort antal angreb," bemærker Sapronov. "Vores råd til virksomhedskunder er at være meget opmærksomme på patch management problemer."
Tid til at prioritere patching
Andre har bemærket en lignende stigning i sårbarhedsudnyttelsesaktivitet. I april bemærkede forskere fra Palo Alto Networks' Unit 42 trusselsforsker, hvordan 31 %, eller næsten hver tredje hændelse, havde de op til det tidspunkt i 2022 analyseret involverede sårbarhedsudnyttelser. I mere end halvdelen (55 %) af dem havde trusselsaktører rettet sig mod ProxyShell.
Palo Alto-forskere fandt også, at trusselsaktører typisk scannede efter systemer med en netop afsløret fejl, bogstaveligt talt få minutter efter, at CVE blev annonceret. I et tilfælde observerede de en autentificeringsomgåelsesfejl i en F5-netværksenhed (CVE-2022-1388), der blev målrettet 2,552 gange i løbet af de første 10 timer efter afsløring af sårbarhed.
Aktivitet efter udnyttelse er svær at få øje på
Kasperskys analyse af dets hændelse-respons-data viste, at i næsten 63 % af tilfældene lykkedes det angribere at forblive ubemærket i et netværk i mere end en måned efter at have fået den første adgang. I mange tilfælde skyldtes det, at angriberne brugte legitime værktøjer og rammer såsom PowerShell, Mimikatz og PsExec til at indsamle data, eskalere privilegier og udføre kommandoer.
Når nogen hurtigt bemærkede et brud, var det typisk fordi angriberne havde skabt åbenlyse skader, såsom under et ransomware-angreb. "Det er nemt at opdage et ransomware-angreb, når dine data er krypteret, da tjenester ikke er tilgængelige, og du har en løsesumseddel på din skærm," siger Sapronov.
Men når målet er en virksomheds data, har angriberne brug for mere tid til at strejfe rundt på ofrets netværk for at indsamle nødvendige oplysninger. I sådanne tilfælde handler angriberne mere snigende og forsigtigt, hvilket gør den slags angreb sværere at opdage. "For at opdage sådanne tilfælde foreslår vi at bruge en sikkerhedsværktøjsstabel med udvidet detektion og respons (EDR)-lignende telemetri og implementere regler for detektering af gennemtrængende værktøjer, der bruges af modstandere," siger han.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, siger, at den virkelige takeaway for virksomhedsorganisationer er, at angribere vil benytte enhver mulighed for at bryde et netværk.
"Med en række udnytbare sårbarheder er det ikke en overraskelse at se en stigning," siger han. Hvorvidt tallene er højere for sårbarheder over socialt udviklede legitimationsangreb, er svært at sige, bemærker han.
"Men bundlinjen er, at trusselsaktører vil bruge de udnyttelser, der virker. Hvis der er en ny fjernkodeudnyttelse på en eller anden Windows-tjeneste, vil de strømme til den og bryde så mange systemer, som de kan, før programrettelserne kommer ud, eller firewallreglerne bliver implementeret,” siger han.
Den virkelige udfordring er de lange hale sårbarheder: Dem, der er ældre, som ProxyLogon, med sårbare systemer, der er blevet savnet eller ignoreret, siger Parkin og tilføjer, at patching skal være en prioritet.
