Haavoittuvuuden hyväksikäytöt, ei tietojenkalastelu, ovat paras kyberhyökkäysvektori ensimmäiselle kompromissille

Tietojenkalastelu- ja tunnistetietojen kompromisseihin liittyvät rikkomukset ovat saaneet paljon huomiota viime vuosina, koska uhkatoimijat ovat käyttäneet taktiikkaa sekä kohdistettujen että opportunististen hyökkäysten toteuttamisessa. Mutta se ei tarkoita, että yritysorganisaatioilla olisi varaa vähentää keskittymistään haavoittuvuuksien korjaamiseen.

Kasperskyn tällä viikolla julkaisemassa raportissa havaittiin viime vuonna enemmän ensimmäisiä tunkeutumisia, jotka johtuivat Internet-sovellusten haavoittuvuuksien hyödyntämisestä kuin haitallisiin sähköposteihin ja vaarantuneisiin tileihin liittyvistä tietomurroista. yhdistetty. Ja yhtiön vuoden 2022 toiselta neljännekseltä keräämät tiedot viittaavat siihen, että sama trendi saattaa jatkua myös tänä vuonna.

Kasperskyn analyysi vuodesta 2021 Tapaus-vastaustiedot osoittivat, että haavoittuvuuksien hyväksikäyttöä sisältävien tietomurtojen määrä kasvoi 31.5 prosentista vuonna 2020 53.6 prosenttiin vuonna 2021. Samaan aikaan hyökkäykset, jotka liittyvät vaarantuneiden tilien käyttöön alkuperäisen käyttöoikeuden saamiseksi, vähenivät 31.6 prosentista vuonna 2020 17.9:ään. % viime vuonna. Tietojenkalasteluviesteistä johtuvien tietomurtojen määrä väheni samana ajanjaksona 23.7 prosentista 14.3 prosenttiin.

Exchange-palvelimen puutteet ruokkivat Exploit Frenzyä

Kaspersky katsoi, että hyväksikäyttöaktiviteetin lisääntyminen viime vuonna liittyi todennäköisesti useisiin kriittisiin Exchange Server -haavoittuvuuksiin, jotka Microsoft paljasti, mukaan lukien neljän nollapäivän sarja maaliskuussa 2021, joka tunnetaan nimellä ProxyLogonin virheitä (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Kun ne ketjutettiin yhteen, hyökkääjät saivat täydellisen etähallinnan paikallisiin Exchange-palvelimiin. 

Hyökkääjät – joihin kuului järjestäytyneitä rikollisryhmiä ja valtion tukemia ryhmiä Kiinasta – käyttivät nopeasti hyväkseen kymmeniä tuhansia haavoittuvia Exchange Server -järjestelmiä ja pudottivat niihin web-kuoret ennen kuin Microsoft ehti julkaista korjauksen puutteille. Haavoittuvuudet herättivät suurta huolta niiden yleisyyden ja vakavuuden vuoksi. He jopa saivat Yhdysvaltain oikeusministeriön valtuuttamaan FBI:n ottamaan ennennäkemättömän askeleen proaktiivisesti poistamalla ProxyLogon Web -kuoret sadoille organisaatioille kuuluvilta palvelimilta – useimmissa tapauksissa ilman ilmoitusta.

Vuoden 2021 hyväksikäyttöä ohjasi myös toinen Exchange Server -haavoittuvuuksien kolmikko yhteisnimitys ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), joita hyökkääjät käyttivät laajalti kiristysohjelmien pudotukseen ja yrityssähköpostin kompromisseihin (BEC) hyökkäyksiin.

Yli vuotta myöhemmin ProxyLogon- ja ProxyShell-haavoittuvuudet ovat edelleen raskaan hyväksikäyttötoiminnan kohteita, Kasperskyn Global Emergency Response Teamin johtaja Konstantin Sapronov sanoo. Yksi vakavimmista näistä puutteista (CVE-2021-26855) on myös ollut eniten kohdistettu. Kaspersky havaitsi, että haavoittuvuutta – osa ProxyLogon-sarjaa – hyödynnettiin 22.7 prosentissa kaikista haavoittuvuuden hyväksikäyttöihin liittyvistä tapauksista, joihin se reagoi vuonna 2021, ja virhe on edelleen hyökkääjien suosikki tänäkin vuonna, Sapronovin mukaan.

Sama hyväksikäyttötrendi toistuu todennäköisesti vuonna 2022

Vaikka tänä vuonna on ilmaantunut useita vakavia haavoittuvuuksia - mukaan lukien kaikkialla esiintyvä Apache Log4j -haavoittuvuus (CVE-2021-44228) – Vuoden 2021 eniten hyödynnetyt haavoittuvuudet ovat edelleen hyvin yleisiä myös vuonna 2022, Sapronov  sanoo, jopa Exchange-palvelinvirheiden lisäksi. Esimerkiksi Kaspersky havaitsi vian Microsoftin MSHTML-selainmoottorissa (CVE-2021-40444, korjattu viime syyskuussa) voimakkaasti hyökätty haavoittuvuus vuoden 2022 toisella neljänneksellä.

"Suosittujen ohjelmistojen, kuten MS Exchange Serverin ja Log4j:n, haavoittuvuudet ovat johtaneet valtavaan määrään hyökkäyksiä", Sapronov toteaa. "Neuvomme yritysasiakkaille on kiinnittää erityistä huomiota korjaustiedostojen hallintaan liittyviin ongelmiin."

Aika priorisoida paikkaus

Toiset ovat havainneet samanlaisen piikin haavoittuvuuden hyväksikäyttötoiminnassa. Palo Alto Networksin Unit 42 -uhkatutkimusryhmän tutkijat havaitsivat huhtikuussa, kuinka 31 % tai lähes joka kolmas tapaus, he olivat analysoineet siihen asti vuonna 2022 haavoittuvuuden hyväksikäyttöä. Yli puolessa (55 %) heistä uhkatekijät olivat kohdistaneet kohteen ProxyShelliin. 

Palo Alton tutkijat löysivät myös uhkatekijöitä, jotka etsivät tyypillisesti järjestelmiä, joissa oli juuri paljastettu virhe, kirjaimellisesti minuuttia CVE:n julkistamisen jälkeen. Yhdessä tapauksessa he havaitsivat todennuksen ohitusvirheen F5-verkkolaitteistossa (CVE-2022-1388), joka kohdistui 2,552 10 kertaa ensimmäisten XNUMX tunnin aikana haavoittuvuuden paljastamisen jälkeen.

Hyödyntämisen jälkeinen toiminta on vaikea havaita

Kasperskyn tapaus-vastaustietojen analyysi osoitti, että lähes 63 %:ssa tapauksista hyökkääjät onnistuivat pysymään huomaamattomina verkossa yli kuukauden päästä sisääntulon jälkeen. Monissa tapauksissa tämä johtui siitä, että hyökkääjät käyttivät laillisia työkaluja ja kehyksiä, kuten PowerShell, Mimikatz ja PsExec tietojen keräämiseen, oikeuksien laajentamiseen ja komentojen suorittamiseen. 

Kun joku havaitsi nopeasti tietomurron, se johtui tyypillisesti siitä, että hyökkääjät olivat aiheuttaneet ilmeisiä vahinkoja, kuten kiristysohjelmahyökkäyksen aikana. "Lunnasohjelmahyökkäys on helppo havaita, kun tietosi on salattu, koska palvelut eivät ole käytettävissä ja näytölläsi on lunnaita koskeva huomautus", Sapronov sanoo.

Mutta kun kohteena on yrityksen data, hyökkääjät tarvitsevat enemmän aikaa liikkuakseen uhrin verkossa kerätäkseen tarvittavia tietoja. Tällaisissa tapauksissa hyökkääjät toimivat varovaisemmin ja varovaisemmin, mikä tekee tällaisten hyökkäysten havaitsemisesta vaikeampaa. "Tällaisten tapausten havaitsemiseksi suosittelemme turvatyökalupinon käyttämistä laajennetun tunnistus- ja vasteen (EDR) kaltaisella telemetrialla ja sääntöjen käyttöönottoa vastustajien käyttämien yleisten työkalujen havaitsemiseksi", hän sanoo.

Mike Parkin, Vulcan Cyberin vanhempi tekninen insinööri, sanoo, että yritysorganisaatioiden todellinen saavutus on se, että hyökkääjät käyttävät hyväkseen mahdollisuutensa murtaakseen verkon. 

"Uusien hyödynnettävien haavoittuvuuksien vuoksi ei ole yllätys nähdä nousun", hän sanoo. Hän huomauttaa, että on vaikea sanoa, ovatko luvut korkeampia haavoittuvuuksille, jotka liittyvät sosiaalisesti suunniteltuihin tunnistehyökkäyksiin. 

"Mutta perimmäinen asia on, että uhkatoimijat käyttävät hyväksikäyttöä, joka toimii. Jos jossain Windows-palvelussa on uusi etäkoodin hyväksikäyttö, ne tunkeutuvat siihen ja rikkovat niin monta järjestelmää kuin mahdollista ennen kuin korjaustiedostot tulevat ulos tai palomuurisäännöt otetaan käyttöön", hän sanoo.

Todellinen haaste on pitkähäntäiset haavoittuvuudet: vanhemmat haavoittuvuudet, kuten ProxyLogon, joissa on haavoittuvia järjestelmiä, jotka on jäänyt huomaamatta tai jätetty huomiotta, Parkin sanoo ja lisää, että paikannuksen on oltava etusijalla.