Le violazioni che coinvolgono il phishing e la compromissione delle credenziali hanno ricevuto molta attenzione negli ultimi anni a causa della frequenza con cui gli attori delle minacce hanno utilizzato le tattiche per eseguire attacchi mirati e opportunistici. Ma ciò non significa che le organizzazioni aziendali possano permettersi di ridurre un po' la loro attenzione sulle patch di vulnerabilità.
Un rapporto di Kaspersky di questa settimana ha identificato più intrusioni iniziali lo scorso anno risultanti dallo sfruttamento delle vulnerabilità nelle applicazioni rivolte a Internet rispetto alle violazioni che coinvolgono e-mail dannose e account compromessi combinato. E i dati che l'azienda ha raccolto durante il secondo trimestre del 2022 suggeriscono che la stessa tendenza potrebbe verificarsi anche quest'anno.
L'analisi di Kaspersky del suo 2021 i dati di risposta agli incidenti hanno mostrato che le violazioni che coinvolgono exploit di vulnerabilità sono aumentate dal 31.5% di tutti gli incidenti nel 2020 al 53.6% nel 2021. Nello stesso periodo, gli attacchi associati all'uso di account compromessi per ottenere l'accesso iniziale sono diminuiti dal 31.6% nel 2020 al 17.9 % l'anno scorso. Le intrusioni iniziali derivanti da e-mail di phishing sono diminuite dal 23.7% al 14.3% nello stesso periodo.
I difetti del server di Exchange alimentano la frenesia degli exploit
Kaspersky ha attribuito l'aumento dell'attività di exploit dello scorso anno come probabilmente legato alle molteplici vulnerabilità critiche di Exchange Server divulgate da Microsoft, tra cui un set di quattro zero-day nel marzo 2021 noto come Difetti di ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Se concatenati, hanno consentito agli aggressori di ottenere il controllo remoto completo sui server Exchange locali.
Gli aggressori, che includevano bande criminali organizzate e gruppi sponsorizzati dallo stato dalla Cina, hanno rapidamente sfruttato decine di migliaia di sistemi Exchange Server vulnerabili e hanno rilasciato shell Web su di essi prima che Microsoft potesse rilasciare una patch per i difetti. Le vulnerabilità hanno suscitato notevole preoccupazione a causa della loro ubiquità e gravità. Hanno persino spinto il Dipartimento di Giustizia degli Stati Uniti ad autorizzare l'FBI a compiere un passo senza precedenti rimozione proattiva delle shell Web ProxyLogon dai server appartenenti a centinaia di organizzazioni, nella maggior parte dei casi senza alcuna notifica.
A guidare l'attività di exploit nel 2021 è stato anche un altro trio di vulnerabilità di Exchange Server collettivamente etichettati come ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) che gli aggressori hanno ampiamente utilizzato per eliminare ransomware e attacchi BEC (Business Email Compromise).
Più di un anno dopo, le vulnerabilità ProxyLogon e ProxyShell continuano a essere oggetto di pesanti attività di exploit, afferma Konstantin Sapronov, responsabile del Global Emergency Response Team di Kaspersky. Uno dei più gravi di questi difetti (CVE-2021-26855) è stato anche il più preso di mira. Kaspersky ha osservato che la vulnerabilità, parte del set ProxyLogon, veniva sfruttata nel 22.7% di tutti gli incidenti che coinvolgevano exploit di vulnerabilità a cui ha risposto nel 2021 e anche quest'anno la falla continua a essere una delle preferite dagli aggressori, secondo Sapronov.
Stessa tendenza allo sfruttamento che probabilmente si verificherà nel 2022
Anche se quest'anno sono emerse diverse gravi vulnerabilità, incluso il file onnipresente vulnerabilità Apache Log4j (CVE-2021-44228) — le vulnerabilità più sfruttate del 2021 rimangono molto diffuse anche nel 2022, afferma Sapronov, anche al di là dei bug del server Exchange. Ad esempio, Kaspersky ha identificato un difetto nel motore del browser MSHTML di Microsoft (CVE-2021-40444, patchato lo scorso settembre) come il più vulnerabilità fortemente attaccata nel secondo trimestre del 2022.
"Le vulnerabilità in software popolari come MS Exchange Server e la libreria Log4j hanno provocato un numero enorme di attacchi", osserva Sapronov. "Il nostro consiglio ai clienti aziendali è di prestare molta attenzione ai problemi di gestione delle patch".
È ora di dare priorità alle patch
Altri hanno notato un picco simile nell'attività di sfruttamento della vulnerabilità. Ad aprile, i ricercatori del team di ricerca sulle minacce dell'Unità 42 di Palo Alto Networks hanno notato come il 31%, o quasi un incidente su tre, avevano analizzato fino a quel momento nel 2022 gli exploit di vulnerabilità coinvolti. In più della metà (55%) di questi, gli attori delle minacce avevano preso di mira ProxyShell.
I ricercatori di Palo Alto hanno anche scoperto che gli attori delle minacce in genere eseguono la scansione dei sistemi con un difetto appena rivelato letteralmente pochi minuti dopo l'annuncio del CVE. In un caso, hanno osservato un difetto di bypass dell'autenticazione in un'appliance di rete F5 (CVE-2022-1388) presa di mira 2,552 volte nelle prime 10 ore dopo la divulgazione della vulnerabilità.
L'attività post-sfruttamento è difficile da individuare
L'analisi di Kaspersky dei suoi dati di risposta agli incidenti ha mostrato che in quasi il 63% dei casi, gli aggressori sono riusciti a rimanere inosservati in una rete per più di un mese dopo aver ottenuto l'accesso iniziale. In molti casi, ciò è dovuto al fatto che gli aggressori hanno utilizzato strumenti e framework legittimi come PowerShell, Mimikatz e PsExec per raccogliere dati, aumentare i privilegi ed eseguire comandi.
Quando qualcuno ha notato rapidamente una violazione, in genere era perché gli aggressori avevano creato danni evidenti, ad esempio durante un attacco ransomware. "È facile rilevare un attacco ransomware quando i tuoi dati sono crittografati, poiché i servizi non sono disponibili e hai una richiesta di riscatto sul monitor", afferma Sapronov.
Ma quando l'obiettivo sono i dati di un'azienda, gli aggressori hanno bisogno di più tempo per aggirare la rete della vittima per raccogliere le informazioni necessarie. In tali casi, gli aggressori agiscono in modo più furtivo e cauto, il che rende questi tipi di attacchi più difficili da rilevare. "Per rilevare tali casi, suggeriamo di utilizzare uno stack di strumenti di sicurezza con telemetria simile a rilevamento e risposta estesa (EDR) e implementare regole per il rilevamento di strumenti pervasivi utilizzati dagli avversari", afferma.
Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, afferma che il vero vantaggio per le organizzazioni aziendali è che gli aggressori coglieranno ogni opportunità possibile per violare una rete.
"Con una serie di vulnerabilità sfruttabili, non è una sorpresa vedere un aumento", afferma. È difficile dire se i numeri siano più alti per le vulnerabilità rispetto agli attacchi alle credenziali di ingegneria sociale, osserva.
“Ma la linea di fondo è che gli attori delle minacce useranno gli exploit che funzionano. Se c'è un nuovo exploit di codice remoto su qualche servizio Windows, si affolleranno su di esso e violeranno il maggior numero possibile di sistemi prima che vengano rilasciate le patch o vengano implementate le regole del firewall ", afferma.
La vera sfida sono le vulnerabilità a coda lunga: quelle che sono più vecchie, come ProxyLogon, con sistemi vulnerabili che sono stati persi o ignorati, dice Parkin, aggiungendo che l'applicazione di patch deve essere una priorità.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
