Brudd som involverer phishing og kompromittering av legitimasjon har fått mye oppmerksomhet de siste årene på grunn av hvor ofte trusselaktører har brukt taktikken for å utføre både målrettede og opportunistiske angrep. Men det betyr ikke at bedriftsorganisasjoner har råd til å redusere fokuset på sårbarhetsoppdatering en bit.
En rapport fra Kaspersky denne uken identifiserte flere innledende inntrengninger i fjor som følge av utnyttelse av sårbarheter i internettvendte applikasjoner enn brudd som involverte ondsinnede e-poster og kompromitterte kontoer kombinert. Og data selskapet har samlet inn gjennom andre kvartal 2022 tyder på at den samme trenden kan spille ut i år også.
Kasperskys analyse av 2021 hendelsesresponsdata viste at brudd som involverte sårbarhetsutnyttelse økte fra 31.5 % av alle hendelser i 2020 til 53.6 % i 2021. I samme periode falt angrep knyttet til bruk av kompromitterte kontoer for å få førstegangstilgang fra 31.6 % i 2020 til 17.9. % i fjor. Innledende inntrengninger som følge av phishing-e-poster gikk ned fra 23.7 % til 14.3 % i samme periode.
Exchange-serverfeil gir næring til utnyttelsesvanviddet
Kaspersky tilskrev økningen i utnyttelsesaktivitet i fjor som sannsynligvis knyttet til de flere kritiske Exchange Server-sårbarhetene som Microsoft avslørte, inkludert et sett med fire null-dager i mars 2021 kjent som ProxyLogon-feil (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Når de ble lenket sammen tillot de angripere å få fullstendig fjernkontroll over lokale Exchange-servere.
Angripere – som inkluderte organiserte kriminelle gjenger og statssponsede grupper fra Kina – utnyttet raskt titusenvis av sårbare Exchange Server-systemer og slapp web-skjell på dem før Microsoft kunne utstede en oppdatering for feilene. Sårbarhetene vakte betydelig bekymring på grunn av deres allestedsnærværende og alvorlighetsgrad. De fikk til og med det amerikanske justisdepartementet til å autorisere FBI til å ta det enestående skrittet proaktivt fjerning av ProxyLogon Web-skall fra servere som tilhører hundrevis av organisasjoner - i de fleste tilfeller uten varsel.
En annen trio av Exchange Server-sårbarheter drev også utnyttelsesaktiviteten i 2021 samlet merket ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) som angripere brukte mye for å droppe løsepengeprogramvare og i bedriftens e-postkompromissangrep (BEC).
Mer enn et år senere fortsetter ProxyLogon- og ProxyShell-sårbarhetene å være mål for tung utnyttelsesaktivitet, sier Konstantin Sapronov, leder av Kasperskys Global Emergency Response Team. En av de mest alvorlige av disse feilene (CVE-2021-26855) har også vært mest målrettet. Kaspersky observerte at sårbarheten – en del av ProxyLogon-settet – ble utnyttet i 22.7 % av alle hendelser som involverte sårbarhetsutnyttelser som den reagerte på i 2021, og feilen fortsetter å være en favoritt blant angripere i år også, ifølge Sapronov.
Samme utnyttelsestrend vil sannsynligvis spille ut i 2022
Selv om flere alvorlige sårbarheter har dukket opp i år - inkludert allestedsnærværende Apache Log4j-sårbarhet (CVE-2021-44228) — de mest utnyttede sårbarhetene i 2021 forblir svært utbredt i 2022 også, sier Sapronov, selv utover Exchange-serverfeilene. Kaspersky identifiserte for eksempel en feil i Microsofts MSHTML-nettlesermotor (CVE-2021-40444, oppdatering i september) som den mest sterkt angrepet sårbarhet i andre kvartal 2022.
"Sårbarheter i populær programvare som MS Exchange Server og biblioteket Log4j har resultert i et stort antall angrep," bemerker Sapronov. "Vårt råd til bedriftskunder er å være nøye med oppdateringshåndteringsproblemer."
På tide å prioritere patching
Andre har notert en lignende økning i sårbarhetsutnyttelsesaktivitet. I april bemerket forskere fra Palo Alto Networks' Unit 42 trusselforskningsteam hvordan 31 %, eller nesten én av tre hendelser, hadde de analysert frem til det tidspunktet i 2022 involvert sårbarhetsutnyttelse. I mer enn halvparten (55 %) av disse hadde trusselaktører rettet seg mot ProxyShell.
Palo Alto-forskere fant også trusselaktører som vanligvis skanner etter systemer med en nettopp avslørt feil, bokstavelig talt minutter etter at CVE ble annonsert. I ett tilfelle observerte de en autentiseringsomkjøringsfeil i en F5-nettverksenhet (CVE-2022-1388) som ble målrettet 2,552 ganger i løpet av de første 10 timene etter avsløring av sårbarhet.
Det er vanskelig å oppdage aktivitet etter utnyttelse
Kasperskys analyse av hendelsesreaksjonsdataene viste at i nesten 63 % av tilfellene klarte angripere å forbli ubemerket i et nettverk i mer enn en måned etter at de først kom inn. I mange tilfeller var dette fordi angriperne brukte legitime verktøy og rammeverk som PowerShell, Mimikatz og PsExec for å samle inn data, eskalere privilegier og utføre kommandoer.
Når noen raskt oppdaget et brudd, var det vanligvis fordi angriperne hadde skapt åpenbare skader, for eksempel under et løsepenge-angrep. "Det er lett å oppdage et løsepengeangrep når dataene dine er kryptert, siden tjenestene er utilgjengelige, og du har en løsepengenotat på skjermen din," sier Sapronov.
Men når målet er et selskaps data, trenger angripere mer tid til å streife rundt i offerets nettverk for å samle nødvendig informasjon. I slike tilfeller opptrer angripere mer snikende og forsiktig, noe som gjør denne typen angrep vanskeligere å oppdage. "For å oppdage slike tilfeller foreslår vi å bruke en sikkerhetsverktøystabel med utvidet deteksjon og respons (EDR)-lignende telemetri og implementere regler for gjenkjenning av gjennomgripende verktøy som brukes av motstandere," sier han.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, sier at den virkelige takeawayen for bedriftsorganisasjoner er at angripere vil benytte enhver mulighet de kan til å bryte et nettverk.
"Med en rekke utnyttbare sårbarheter er det ikke en overraskelse å se en økning," sier han. Hvorvidt tallene er høyere for sårbarheter over sosialt konstruerte legitimasjonsangrep, er vanskelig å si, bemerker han.
"Men bunnlinjen er trusselen som aktører vil bruke utnyttelsene som fungerer. Hvis det er en ny ekstern kodeutnyttelse på en eller annen Windows-tjeneste, vil de strømme til den og bryte så mange systemer de kan før oppdateringene kommer ut eller brannmurregler blir distribuert, sier han.
Den virkelige utfordringen er sårbarhetene med lang hale: De som er eldre, som ProxyLogon, med sårbare systemer som har blitt savnet eller ignorert, sier Parkin og legger til at patching må være en prioritet.
