Les exploits de vulnérabilité, et non le phishing, sont le principal vecteur de cyberattaque pour le compromis initial

Les violations impliquant le phishing et la compromission d'informations d'identification ont reçu beaucoup d'attention ces dernières années en raison de la fréquence à laquelle les acteurs de la menace ont utilisé ces tactiques pour exécuter des attaques ciblées et opportunistes. Mais cela ne signifie pas que les entreprises peuvent se permettre de moins se concentrer sur la correction des vulnérabilités.

Un rapport de Kaspersky a identifié cette semaine plus d'intrusions initiales l'année dernière résultant de l'exploitation de vulnérabilités dans les applications Internet que de violations impliquant des e-mails malveillants et des comptes compromis. combiné. Et les données collectées par l’entreprise au cours du deuxième trimestre 2022 suggèrent que la même tendance pourrait également se produire cette année.

Analyse de Kaspersky sur son année 2021 les données de réponse aux incidents ont montré que les violations impliquant des exploits de vulnérabilité sont passées de 31.5 % de tous les incidents en 2020 à 53.6 % en 2021. Au cours de la même période, les attaques associées à l'utilisation de comptes compromis pour obtenir un accès initial ont diminué de 31.6 % en 2020 à 17.9 %. % l'année dernière. Les premières intrusions résultant d'e-mails de phishing ont diminué de 23.7 % à 14.3 % au cours de la même période.

Les failles du serveur Exchange alimentent la frénésie des exploits

Kaspersky a attribué l'augmentation de l'activité d'exploitation l'année dernière comme probablement liée aux multiples vulnérabilités critiques du serveur Exchange divulguées par Microsoft, y compris un ensemble de quatre jours zéro en mars 2021 connus sous le nom de Failles de ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Lorsqu'ils sont enchaînés, ils ont permis aux attaquants d'obtenir un contrôle à distance complet sur les serveurs Exchange sur site. 

Les attaquants, parmi lesquels des gangs criminels organisés et des groupes parrainés par l'État chinois, ont rapidement exploité des dizaines de milliers de systèmes Exchange Server vulnérables et leur ont lancé des shells Web avant que Microsoft ne puisse publier un correctif pour les failles. Ces vulnérabilités ont suscité une inquiétude considérable en raison de leur omniprésence et de leur gravité. Ils ont même incité le ministère américain de la Justice à autoriser le FBI à prendre la mesure sans précédent de suppression proactive des shells Web ProxyLogon à partir de serveurs appartenant à des centaines d’organisations – dans la plupart des cas, sans aucune notification.

Un autre trio de vulnérabilités du serveur Exchange a également été à l'origine de l'activité d'exploitation en 2021. collectivement étiquetés ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) que les attaquants ont largement utilisés pour supprimer des ransomwares et dans le cadre d'attaques de compromission de la messagerie professionnelle (BEC).

Plus d’un an plus tard, les vulnérabilités ProxyLogon et ProxyShell continuent d’être la cible d’importantes activités d’exploitation, déclare Konstantin Sapronov, responsable de l’équipe mondiale d’intervention d’urgence de Kaspersky. L'un des défauts les plus graves (CVE-2021-26855) a également été la plus ciblée. Kaspersky a observé que la vulnérabilité – qui fait partie de l'ensemble ProxyLogon – était exploitée dans 22.7 % de tous les incidents impliquant des exploits de vulnérabilité auxquels il a répondu en 2021, et la faille continue d'être l'une des préférées des attaquants cette année également, selon Sapronov.

La même tendance d’exploitation se produira probablement en 2022

Même si plusieurs vulnérabilités graves sont apparues cette année, notamment vulnérabilité omniprésente d'Apache Log4j (CVE-2021-44228) — les vulnérabilités les plus exploitées en 2021 restent également très répandues en 2022, explique Sapronov, même au-delà des bugs du serveur Exchange. Par exemple, Kaspersky a identifié une faille dans le moteur de navigation MSHTML de Microsoft (CVE-2021-40444, corrigée en septembre dernier) comme étant la plus grave. vulnérabilité fortement attaquée au deuxième trimestre 2022.

"Les vulnérabilités de logiciels populaires tels que MS Exchange Server et la bibliothèque Log4j ont donné lieu à un grand nombre d'attaques", note Sapronov. « Notre conseil aux entreprises clientes est de prêter une attention particulière aux problèmes de gestion des correctifs. »

Il est temps de donner la priorité aux correctifs

D’autres ont noté une augmentation similaire de l’activité d’exploitation des vulnérabilités. En avril, des chercheurs de l’équipe de recherche sur les menaces de l’unité 42 de Palo Alto Networks ont noté que 31 %, soit près d'un incident sur trois, ils avaient analysé jusque-là en 2022 des exploits de vulnérabilité impliqués. Dans plus de la moitié (55 %) d'entre eux, les auteurs de menaces avaient ciblé ProxyShell. 

Les chercheurs de Palo Alto ont également découvert que les auteurs de menaces recherchent généralement les systèmes présentant une faille qui vient d'être divulguée quelques minutes seulement après l'annonce du CVE. Dans un cas, ils ont observé qu’une faille de contournement d’authentification dans une appliance réseau F5 (CVE-2022-1388) était ciblée 2,552 10 fois au cours des XNUMX premières heures suivant la divulgation de la vulnérabilité.

L’activité post-exploitation est difficile à repérer

L’analyse par Kaspersky de ses données de réponse aux incidents a montré que dans près de 63 % des cas, les attaquants ont réussi à rester inaperçus dans un réseau pendant plus d’un mois après avoir obtenu leur première entrée. Dans de nombreux cas, cela était dû au fait que les attaquants utilisaient des outils et des frameworks légitimes tels que PowerShell, Mimikatz et PsExec pour collecter des données, élever les privilèges et exécuter des commandes. 

Lorsqu'une personne remarquait rapidement une violation, c'était généralement parce que les attaquants avaient créé des dommages évidents, comme lors d'une attaque de ransomware. "Il est facile de détecter une attaque de ransomware lorsque vos données sont cryptées, car les services ne sont pas disponibles et que vous avez une demande de rançon sur votre moniteur", explique Sapronov.

Mais lorsque la cible est les données d’une entreprise, les attaquants ont besoin de plus de temps pour parcourir le réseau de la victime afin de collecter les informations nécessaires. Dans de tels cas, les attaquants agissent de manière plus furtive et plus prudente, ce qui rend ce type d’attaques plus difficiles à détecter. "Pour détecter de tels cas, nous suggérons d'utiliser une pile d'outils de sécurité avec une télémétrie de type détection et réponse étendue (EDR) et de mettre en œuvre des règles de détection des outils omniprésents utilisés par les adversaires", dit-il.

Mike Parkin, ingénieur technique senior chez Vulcan Cyber, affirme que le véritable point à retenir pour les entreprises est que les attaquants saisiront toutes les opportunités possibles pour pirater un réseau. 

« Avec toute une gamme de vulnérabilités exploitables, il n’est pas surprenant de constater une légère augmentation », dit-il. Il est difficile de dire si les chiffres sont plus élevés pour les vulnérabilités liées aux attaques d’identifiants d’origine sociale, note-t-il. 

« Mais l’essentiel est que les acteurs malveillants utiliseront les exploits qui fonctionnent. S’il y a un nouvel exploit de code à distance sur un service Windows, ils afflueront vers lui et pirateront autant de systèmes que possible avant que les correctifs ne soient publiés ou que les règles de pare-feu ne soient déployées », dit-il.

Le véritable défi réside dans les vulnérabilités de longue traîne : celles qui sont plus anciennes, comme ProxyLogon, avec des systèmes vulnérables qui ont été manqués ou ignorés, explique Parkin, ajoutant que l'application de correctifs doit être une priorité.