Inbreuken op het gebied van phishing en het in gevaar brengen van inloggegevens hebben de afgelopen jaren veel aandacht gekregen vanwege de frequentie waarmee bedreigingsactoren deze tactieken hebben toegepast bij het uitvoeren van zowel gerichte als opportunistische aanvallen. Maar dat betekent niet dat bedrijfsorganisaties het zich kunnen veroorloven hun focus op het oplossen van kwetsbaarheden ook maar een beetje te verminderen.
Een rapport van Kaspersky van deze week identificeerde vorig jaar meer initiële inbraken als gevolg van misbruik van kwetsbaarheden in internetgerichte applicaties dan inbreuken waarbij kwaadaardige e-mails en gecompromitteerde accounts betrokken waren gecombineerde. En gegevens die het bedrijf in het tweede kwartaal van 2022 heeft verzameld, duiden erop dat dezelfde trend zich dit jaar ook zou kunnen voordoen.
Kaspersky's analyse van zijn 2021 Uit incidentresponsgegevens blijkt dat het aantal inbreuken waarbij misbruik wordt gemaakt van kwetsbaarheden is gestegen van 31.5% van alle incidenten in 2020 naar 53.6% in 2021. In dezelfde periode zijn de aanvallen die verband houden met het gebruik van gecompromitteerde accounts om initiële toegang te verkrijgen gedaald van 31.6% in 2020 naar 17.9%. % afgelopen jaar. Het aantal initiële inbraken als gevolg van phishing-e-mails daalde in dezelfde periode van 23.7% naar 14.3%.
Fouten in de Exchange-server voeden de exploit-waanzin
Kaspersky schreef de toename van de exploitactiviteit vorig jaar waarschijnlijk toe aan de meerdere kritieke kwetsbaarheden in Exchange Server die Microsoft openbaar maakte, waaronder een reeks van vier zero-days in maart 2021, bekend als de ProxyLogon-fouten (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Wanneer ze aan elkaar werden gekoppeld, konden aanvallers volledige controle op afstand krijgen over lokale Exchange-servers.
Aanvallers – waaronder georganiseerde criminele bendes en door de staat gesponsorde groepen uit China – maakten snel misbruik van tienduizenden kwetsbare Exchange Server-systemen en lieten er webshells op vallen voordat Microsoft een patch voor de fouten kon uitbrengen. De kwetsbaarheden baarden grote zorgen vanwege hun alomtegenwoordigheid en ernst. Ze hebben het Amerikaanse ministerie van Justitie er zelfs toe aangezet de FBI toestemming te geven deze ongekende stap te zetten het proactief verwijderen van ProxyLogon Web-shells vanaf servers van honderden organisaties – in de meeste gevallen zonder enige kennisgeving.
Een andere drijvende kracht achter de exploitactiviteit in 2021 was een ander drietal Exchange Server-kwetsbaarheden gezamenlijk gelabeld ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) die aanvallers op grote schaal gebruikten om ransomware en BEC-aanvallen (Business Email Compromise) te laten vallen.
Meer dan een jaar later blijven de kwetsbaarheden ProxyLogon en ProxyShell het doelwit van zware exploitactiviteiten, zegt Konstantin Sapronov, hoofd van Kaspersky's Global Emergency Response Team. Een van de ernstigste van deze tekortkomingen (CVE-2021-26855) was ook het meest doelgericht. Kaspersky constateerde dat de kwetsbaarheid – onderdeel van de ProxyLogon-set – werd uitgebuit bij 22.7% van alle incidenten met betrekking tot exploits van kwetsbaarheden waarop het in 2021 reageerde, en de fout blijft ook dit jaar een favoriet onder aanvallers, aldus Sapronov.
Dezelfde exploitatietrend zal zich waarschijnlijk in 2022 voordoen
Hoewel er dit jaar verschillende ernstige kwetsbaarheden aan het licht zijn gekomen, waaronder de alomtegenwoordige Apache Log4j-kwetsbaarheid (CVE-2021-44228) – de meest uitgebuite kwetsbaarheden van 2021 blijven ook in 2022 veel voorkomen, zegt Sapronov, zelfs afgezien van de Exchange-serverbugs. Kaspersky identificeerde bijvoorbeeld een fout in de MSHTML-browserengine van Microsoft (CVE-2021-40444, afgelopen september gepatcht) als de meest voorkomende fout. zwaar aangevallen kwetsbaarheid in het tweede kwartaal van 2022.
“Kwetsbaarheden in populaire software zoals MS Exchange Server en bibliotheek Log4j hebben geleid tot een groot aantal aanvallen”, merkt Sapronov op. “Ons advies aan zakelijke klanten is om goed op patchbeheerproblemen te letten.”
Tijd om prioriteit te geven aan patchen
Anderen hebben een soortgelijke piek opgemerkt in de exploitatie van kwetsbaarheden. In april merkten onderzoekers van Palo Alto Networks' Unit 42-dreigingsonderzoeksteam op dat 31%, of bijna één op de drie incidenten, die ze tot dan toe in 2022 hadden geanalyseerd, betroffen misbruiken van kwetsbaarheden. In meer dan de helft (55%) daarvan hadden bedreigingsactoren zich op ProxyShell gericht.
Palo Alto-onderzoekers ontdekten ook dat bedreigingsactoren doorgaans letterlijk minuten nadat de CVE is aangekondigd, zoeken naar systemen met een zojuist bekendgemaakte fout. In één geval constateerden ze een fout bij het omzeilen van de authenticatie in een F5-netwerkapparaat (CVE-2022-1388), dat 2,552 keer werd aangevallen in de eerste 10 uur na de openbaarmaking van de kwetsbaarheid.
Activiteit na exploitatie is moeilijk te herkennen
Kaspersky's analyse van de incident-responsgegevens toonde aan dat aanvallers in bijna 63% van de gevallen erin slaagden om langer dan een maand onopgemerkt in een netwerk te blijven nadat ze voor het eerst toegang hadden gekregen. In veel gevallen kwam dit doordat de aanvallers legitieme tools en frameworks zoals PowerShell, Mimikatz en PsExec gebruikten om gegevens te verzamelen, bevoegdheden te escaleren en opdrachten uit te voeren.
Als iemand snel een inbreuk opmerkte, kwam dat meestal doordat de aanvallers duidelijke schade hadden aangericht, bijvoorbeeld tijdens een ransomware-aanval. "Het is gemakkelijk om een ransomware-aanval te detecteren wanneer je gegevens zijn gecodeerd, omdat services niet beschikbaar zijn en er een losgeldbriefje op je monitor staat", zegt Sapronov.
Maar als het doelwit de gegevens van een bedrijf zijn, hebben aanvallers meer tijd nodig om door het netwerk van het slachtoffer te zwerven om de benodigde informatie te verzamelen. In dergelijke gevallen handelen aanvallers heimelijker en voorzichtiger, waardoor dit soort aanvallen moeilijker te detecteren zijn. “Om dergelijke gevallen op te sporen, raden we aan een beveiligingstoolstack met uitgebreide detectie en respons (EDR)-achtige telemetrie te gebruiken en regels te implementeren voor de detectie van alomtegenwoordige tools die door tegenstanders worden gebruikt”, zegt hij.
Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, zegt dat de echte conclusie voor bedrijfsorganisaties is dat aanvallers elke gelegenheid zullen aangrijpen om een netwerk binnen te dringen.
"Met een reeks exploiteerbare kwetsbaarheden is het geen verrassing dat er sprake is van een stijging", zegt hij. Of de cijfers hoger zijn voor kwetsbaarheden als gevolg van sociaal ontworpen credential-aanvallen, is moeilijk te zeggen, merkt hij op.
“Maar het komt erop neer dat bedreigingsactoren de exploits zullen gebruiken die werken. Als er een nieuwe externe code-exploit op een Windows-service plaatsvindt, zullen ze daar massaal op afkomen en zoveel mogelijk systemen binnendringen voordat de patches verschijnen of firewallregels worden geïmplementeerd”, zegt hij.
De echte uitdaging zijn de langdurige kwetsbaarheden: de oudere kwetsbaarheden, zoals ProxyLogon, met kwetsbare systemen die zijn gemist of genegeerd, zegt Parkin, eraan toevoegend dat patchen een prioriteit moet zijn.
