Az adathalászattal és a hitelesítő adatokkal való kompromisszumokkal kapcsolatos jogsértések nagy figyelmet kaptak az elmúlt években, mivel a fenyegetés szereplői milyen gyakran alkalmazták a taktikát célzott és opportunista támadások végrehajtása során. Ez azonban nem jelenti azt, hogy a vállalati szervezetek megengedhetik maguknak, hogy egy kicsit csökkentsék a sebezhetőség javítására való összpontosításukat.
A Kaspersky e heti jelentése szerint a tavalyi évben több kezdeti behatolást azonosítottak az internetes alkalmazások sebezhetőségeinek kihasználása miatt, mint a rosszindulatú e-mailekkel és a feltört fiókokkal kapcsolatos jogsértések miatt. kombinált. A vállalat által 2022 második negyedévében gyűjtött adatok pedig arra utalnak, hogy idén is ugyanez a tendencia érvényesülhet.
A Kaspersky elemzése a 2021-es évről Az incidensekre adott válaszok adatai azt mutatták, hogy a sebezhetőségi kizsákmányolásokkal kapcsolatos incidensek száma a 31.5-as összes incidens 2020%-áról 53.6-re 2021%-ra nőtt. Ugyanebben az időszakban a feltört fiókok kezdeti hozzáférés megszerzéséhez való felhasználásával kapcsolatos támadások száma a 31.6-as 2020%-ról 17.9%-ra csökkent. % tavaly. Az adathalász e-mailekből származó kezdeti behatolások száma 23.7%-ról 14.3%-ra csökkent ugyanebben az időszakban.
Az Exchange szerver hibái fokozzák az exploit őrületet
A Kaspersky a kizsákmányolási tevékenység tavalyi megugrását valószínűleg a Microsoft által felfedett számos kritikus Exchange Server-sebezhetőségnek tulajdonította, beleértve a 2021. márciusi négy nulla napot. ProxyLogon hibák (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Összeláncolva lehetővé tették a támadók számára, hogy teljes távoli irányítást szerezzenek a helyszíni Exchange-kiszolgálók felett.
A támadók – köztük szervezett bűnözői csoportok és államilag támogatott kínai csoportok – gyorsan kihasználtak több tízezer sebezhető Exchange Server rendszert, és webhéjakat dobtak rájuk, mielőtt a Microsoft javítani tudott volna a hibákra. A sérülékenységek jelentős aggodalmat keltettek mindenütt jelenlétük és súlyosságuk miatt. Még az Egyesült Államok Igazságügyi Minisztériumát is felszólították arra, hogy hatalmazza fel az FBI-t a példátlan lépés megtételére a ProxyLogon webhéjak proaktív eltávolítása több száz szervezethez tartozó szerverekről – a legtöbb esetben minden értesítés nélkül.
Szintén 2021-ben a kizsákmányolási tevékenységet az Exchange Server sebezhetőségeinek egy másik hármasa is előmozdította gyűjtőnévvel ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), amelyeket a támadók széles körben használtak a zsarolóvírusok eldobására és az üzleti e-mail-kompromittációs (BEC) támadásokra.
Több mint egy évvel később a ProxyLogon és a ProxyShell sebezhetőségei továbbra is súlyos kihasználási tevékenységek célpontjai, mondja Konstantin Sapronov, a Kaspersky Global Emergency Response Team vezetője. Az egyik legsúlyosabb ilyen hiba (CVE-2021 26855-) is a leginkább célzott. A Kaspersky azt figyelte meg, hogy a sérülékenységet – a ProxyLogon készlet részét képező – a 22.7-ben reagált sebezhetőségi kizsákmányolásokkal kapcsolatos incidensek 2021%-ában használták ki, és a hiba idén is a támadók kedvence Sapronov szerint.
Valószínűleg 2022-ben ugyanaz a kizsákmányolási trend
Annak ellenére, hogy idén több súlyos sebezhetőség is napvilágra került – köztük a mindenütt jelenlévő Apache Log4j biztonsági rés (CVE-2021-44228) – a 2021-es év legtöbbet kihasznált sebezhetősége 2022-ben is nagyon elterjedt marad, mondja Sapronov, még az Exchange szerverhibákon túl is. A Kaspersky például a Microsoft MSHTML böngészőmotorjának hibáját (CVE-2021-40444, tavaly szeptemberben javítva) azonosította a leginkább erősen támadott sebezhetőség 2022 második negyedévében.
„Az olyan népszerű szoftverek sebezhetőségei, mint az MS Exchange Server és a Log4j könyvtár, rengeteg támadást eredményeztek” – jegyzi meg Sapronov. "Az a tanácsunk a vállalati ügyfeleknek, hogy fordítsanak fokozott figyelmet a javítások kezelésével kapcsolatos problémákra."
Ideje előtérbe helyezni a foltozást
Mások hasonló kiugrást észleltek a sebezhetőségek kihasználása terén. Áprilisban a Palo Alto Networks Unit 42 fenyegetéskutató csoportjának kutatói megállapították, hogy a 31%-os ill. csaknem minden harmadik esemény, 2022-ig elemezték a sebezhetőség kihasználását. Ezek több mint felében (55%) a fenyegetettség szereplői a ProxyShellt célozták meg.
A Palo Alto kutatói azt is találták, hogy a CVE bejelentése után néhány perccel a CVE bejelentése után jellemzően olyan rendszereket keresnek, amelyekben egy most feltárt hiba található. Egy esetben egy F5-ös hálózati eszközben (CVE-2022-1388) észleltek egy hitelesítési megkerülési hibát, amelyet 2,552 alkalommal céloztak meg a sebezhetőség feltárását követő első 10 órában.
A kizsákmányolás utáni tevékenységet nehéz észrevenni
A Kaspersky incidens-válasz adatainak elemzése azt mutatta, hogy az esetek közel 63%-ában a támadóknak több mint egy hónapig sikerült észrevétlenül maradniuk a hálózaton az első belépést követően. Ennek sok esetben az az oka, hogy a támadók legitim eszközöket és keretrendszereket, például PowerShell-t, Mimikatz-et és PsExec-et használtak az adatok gyűjtésére, a jogosultságok kiterjesztésére és a parancsok végrehajtására.
Ha valaki gyorsan észrevette a jogsértést, az általában azért volt, mert a támadók nyilvánvaló károkat okoztak, például egy zsarolóprogram-támadás során. „Könnyű észlelni a ransomware támadást, ha adatai titkosítva vannak, mivel a szolgáltatások nem érhetők el, és a monitoron váltságdíj-jegyzet látható” – mondja Sapronov.
De ha a cél egy vállalat adatai, a támadóknak több időre van szükségük az áldozat hálózatán való barangoláshoz, hogy összegyűjtsék a szükséges információkat. Ilyen esetekben a támadók lopakodóbban és óvatosabban cselekszenek, ami megnehezíti az ilyen típusú támadások észlelését. „Az ilyen esetek felderítéséhez javasoljuk egy kiterjesztett észlelési és válaszadási (EDR) típusú telemetriával rendelkező biztonsági eszközkészlet alkalmazását, valamint szabályok bevezetését az ellenfelek által használt széleskörű eszközök észlelésére” – mondja.
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint a vállalati szervezetek számára az az igazi előny, hogy a támadók minden lehetőséget megragadnak a hálózat áttörésére.
„A számos kihasználható sérülékenység miatt nem meglepő, hogy emelkedést tapasztalunk” – mondja. Nehéz megmondani, hogy magasabbak-e a számok a társadalmilag megtervezett hitelesítő támadások miatti sebezhetőségek tekintetében, jegyzi meg.
„De a lényeg az, hogy a fenyegetés szereplői használni fogják a működő zsákmányokat. Ha van egy új távoli kódexploit egy Windows-szolgáltatáson, akkor arra özönlenek, és annyi rendszert feltörnek, amennyit csak tudnak, mielőtt a javítások megjelennének vagy a tűzfalszabályok telepítésre kerülnének” – mondja.
Az igazi kihívást a hosszú farkú sebezhetőség jelenti: a régebbiek, mint például a ProxyLogon, olyan sebezhető rendszerekkel, amelyeket kihagytak vagy figyelmen kívül hagytak, mondja Parkin, hozzátéve, hogy a javításnak prioritást kell élveznie.
