Breaches involving phishing and credential compromise have received a lot of attention in recent years because of how frequently threat actors have employed the tactics in executing both targeted and opportunistic attacks. But that doesn’t mean that enterprise organizations can afford to lessen their focus on vulnerability patching one bit.
A Kaspersky e heti jelentése szerint a tavalyi évben több kezdeti behatolást azonosítottak az internetes alkalmazások sebezhetőségeinek kihasználása miatt, mint a rosszindulatú e-mailekkel és a feltört fiókokkal kapcsolatos jogsértések miatt. kombinált. A vállalat által 2022 második negyedévében gyűjtött adatok pedig arra utalnak, hogy idén is ugyanez a tendencia érvényesülhet.
Kaspersky’s analysis of its 2021 Az incidensekre adott válaszok adatai azt mutatták, hogy a sebezhetőségi kizsákmányolásokkal kapcsolatos incidensek száma a 31.5-as összes incidens 2020%-áról 53.6-re 2021%-ra nőtt. Ugyanebben az időszakban a feltört fiókok kezdeti hozzáférés megszerzéséhez való felhasználásával kapcsolatos támadások száma a 31.6-as 2020%-ról 17.9%-ra csökkent. % tavaly. Az adathalász e-mailekből származó kezdeti behatolások száma 23.7%-ról 14.3%-ra csökkent ugyanebben az időszakban.
Az Exchange szerver hibái fokozzák az exploit őrületet
A Kaspersky a kizsákmányolási tevékenység tavalyi megugrását valószínűleg a Microsoft által felfedett számos kritikus Exchange Server-sebezhetőségnek tulajdonította, beleértve a 2021. márciusi négy nulla napot. ProxyLogon hibák (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Összeláncolva lehetővé tették a támadók számára, hogy teljes távoli irányítást szerezzenek a helyszíni Exchange-kiszolgálók felett.
A támadók – köztük szervezett bűnözői csoportok és államilag támogatott kínai csoportok – gyorsan kihasználtak több tízezer sebezhető Exchange Server rendszert, és webhéjakat dobtak rájuk, mielőtt a Microsoft javítani tudott volna a hibákra. A sérülékenységek jelentős aggodalmat keltettek mindenütt jelenlétük és súlyosságuk miatt. Még az Egyesült Államok Igazságügyi Minisztériumát is felszólították arra, hogy hatalmazza fel az FBI-t a példátlan lépés megtételére a ProxyLogon webhéjak proaktív eltávolítása több száz szervezethez tartozó szerverekről – a legtöbb esetben minden értesítés nélkül.
Szintén 2021-ben a kizsákmányolási tevékenységet az Exchange Server sebezhetőségeinek egy másik hármasa is előmozdította gyűjtőnévvel ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), amelyeket a támadók széles körben használtak a zsarolóvírusok eldobására és az üzleti e-mail-kompromittációs (BEC) támadásokra.
More than a year later, the ProxyLogon and ProxyShell vulnerabilities continue to be targets of heavy exploit activity, says Konstantin Sapronov, head of Kaspersky’s Global Emergency Response Team. One of the most severe of these flaws (CVE-2021 26855-) is a leginkább célzott. A Kaspersky azt figyelte meg, hogy a sérülékenységet – a ProxyLogon készlet részét képező – a 22.7-ben reagált sebezhetőségi kizsákmányolásokkal kapcsolatos incidensek 2021%-ában használták ki, és a hiba idén is a támadók kedvence Sapronov szerint.
Valószínűleg 2022-ben ugyanaz a kizsákmányolási trend
Annak ellenére, hogy idén több súlyos sebezhetőség is napvilágra került – köztük a mindenütt jelenlévő Apache Log4j biztonsági rés (CVE-2021-44228) — the most exploited vulnerabilities of 2021 remain very prevalent in 2022 as well, Sapronov says, even beyond the Exchange server bugs. For instance, Kaspersky identified a flaw in Microsoft’s MSHTML browser engine (CVE-2021-40444, patched last September) as the most erősen támadott sebezhetőség 2022 második negyedévében.
“Vulnerabilities in popular software such as MS Exchange Server and library Log4j have resulted in a huge number of attacks,” Sapronov notes. “Our advice to enterprise customers is to pay close attention to patch management issues.”
Ideje előtérbe helyezni a foltozást
Others have noted a similar spike in vulnerability exploit activity. In April, researchers from Palo Alto Networks’ Unit 42 threat research team noted how 31%, or csaknem minden harmadik esemény, 2022-ig elemezték a sebezhetőség kihasználását. Ezek több mint felében (55%) a fenyegetettség szereplői a ProxyShellt célozták meg.
A Palo Alto kutatói azt is találták, hogy a CVE bejelentése után néhány perccel a CVE bejelentése után jellemzően olyan rendszereket keresnek, amelyekben egy most feltárt hiba található. Egy esetben egy F5-ös hálózati eszközben (CVE-2022-1388) észleltek egy hitelesítési megkerülési hibát, amelyet 2,552 alkalommal céloztak meg a sebezhetőség feltárását követő első 10 órában.
A kizsákmányolás utáni tevékenységet nehéz észrevenni
Kaspersky’s analysis of its incident-response data showed that in nearly 63% of cases, attackers managed to stay unnoticed in a network for more than a month after gaining initial entry. In many cases, this was because the attackers used legitimate tools and frameworks such as PowerShell, Mimikatz, and PsExec to collect data, escalate privileges, and execute commands.
When someone did quickly notice a breach, it was typically because the attackers had created obvious damage, such as during a ransomware attack. “It’s easy to detect a ransomware attack when your data is encrypted, as services are unavailable, and you have a ransom note on your monitor,” Sapronov says.
But when the target is a company’s data, attackers need more time to roam around the victim’s network to collect necessary information. In such cases, attackers act more stealthily and cautiously, which makes these kinds of attacks harder to detect. “To detect such cases, we suggest employing a security tool stack with extended detection and response (EDR)-like telemetry and implement rules for detection of pervasive tools used by adversaries,” he says.
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint a vállalati szervezetek számára az az igazi előny, hogy a támadók minden lehetőséget megragadnak a hálózat áttörésére.
“With a range of exploitable vulnerabilities, it’s not a surprise to see an uptick,” he says. Whether the numbers are higher for vulnerabilities over socially engineered credential attacks, is hard to say, he notes.
“But the bottom line is threat actors will use the exploits that work. If there’s a new remote code exploit on some Windows service, they’ll flock to it and breach as many systems as they can before the patches come out or firewall rules get deployed,” he says.
Az igazi kihívást a hosszú farkú sebezhetőség jelenti: a régebbiek, mint például a ProxyLogon, olyan sebezhető rendszerekkel, amelyeket kihagytak vagy figyelmen kívül hagytak, mondja Parkin, hozzátéve, hogy a javításnak prioritást kell élveznie.
