W ostatnich latach wiele uwagi poświęcono naruszeniom polegającym na phishingu i naruszeniu wiarygodności danych uwierzytelniających ze względu na częstotliwość stosowania tej taktyki przez podmioty zagrażające w przeprowadzaniu zarówno ataków ukierunkowanych, jak i oportunistycznych. Nie oznacza to jednak, że organizacje korporacyjne mogą sobie pozwolić na choć odrobinę mniejsze skupienie się na łataniu luk w zabezpieczeniach.
W raporcie firmy Kaspersky z tego tygodnia zidentyfikowano więcej początkowych włamań w ubiegłym roku wynikających z wykorzystania luk w zabezpieczeniach aplikacji internetowych niż naruszeń obejmujących złośliwe wiadomości e-mail i zhakowane konta połączony. Dane zebrane przez firmę do drugiego kwartału 2022 r. sugerują, że ten sam trend może wystąpić również w tym roku.
Analiza firmy Kaspersky dotycząca jej 2021 dane dotyczące reakcji na incydenty wykazały, że liczba naruszeń obejmujących wykorzystanie luk w zabezpieczeniach wzrosła z 31.5% wszystkich incydentów w 2020 r. do 53.6% w 2021 r. W tym samym okresie liczba ataków związanych z wykorzystaniem zhakowanych kont w celu uzyskania wstępnego dostępu spadła z 31.6% w 2020 r. do 17.9 % ostatni rok. W tym samym okresie liczba początkowych włamań wynikających z wiadomości phishingowych spadła z 23.7% do 14.3%.
Wady serwera Exchange podsycają szał exploitów
Kaspersky przypisał wzrost aktywności exploitów w zeszłym roku prawdopodobnie powiązany z wieloma krytycznymi lukami w zabezpieczeniach serwera Exchange ujawnionymi przez firmę Microsoft, w tym z zestawem czterech dni zerowych w marcu 2021 r., znanych jako Wady logowania proxy (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Połączone ze sobą, umożliwiły atakującym uzyskanie całkowitej zdalnej kontroli nad lokalnymi serwerami Exchange.
Napastnicy — do których zaliczały się zorganizowane gangi przestępcze i grupy sponsorowane przez państwo z Chin — szybko wykorzystali dziesiątki tysięcy podatnych na ataki systemów Exchange Server i upuścili na nie powłoki internetowe, zanim Microsoft zdążył wydać łatkę usuwającą luki. Luki wzbudziły poważne obawy ze względu na ich wszechobecność i wagę. Skłonili nawet Departament Sprawiedliwości Stanów Zjednoczonych do upoważnienia FBI do podjęcia bezprecedensowego kroku proaktywne usuwanie powłok internetowych ProxyLogon z serwerów należących do setek organizacji — w większości przypadków bez żadnego powiadomienia.
Aktywność exploitów w 2021 r. napędzała także kolejne trzy luki w zabezpieczeniach programu Exchange Server wspólnie oznaczone jako ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), które napastnicy szeroko wykorzystywali do upuszczania oprogramowania ransomware i ataków typu business email (BEC).
Ponad rok później luki w zabezpieczeniach ProxyLogon i ProxyShell w dalszym ciągu stanowią cele intensywnej aktywności exploitów, mówi Konstantin Sapronow, szef Globalnego Zespołu Reagowania Kryzysowego w firmie Kaspersky. Jedną z najpoważniejszych z tych wad (CVE-2021-26855) był również najbardziej ukierunkowany. Kaspersky zaobserwował, że luka ta – będąca częścią zestawu ProxyLogon – została wykorzystana w 22.7% wszystkich incydentów obejmujących luki w zabezpieczeniach, na które zareagowała w 2021 r., a według Sapronowa luka ta nadal jest ulubioną cechą atakujących również w tym roku.
Ten sam trend w zakresie wyzysku prawdopodobnie będzie miał miejsce w 2022 r
Mimo że w tym roku pojawiło się kilka poważnych luk w zabezpieczeniach – w tym wszechobecna luka w Apache Log4j (CVE-2021-44228) — najczęściej wykorzystywane luki w 2021 r. będą nadal bardzo rozpowszechnione, twierdzi Sapronov, także w 2022 r., nawet poza błędami serwerów Exchange. Na przykład Kaspersky zidentyfikował lukę w silniku przeglądarki MSHTML firmy Microsoft (CVE-2021-40444, załataną we wrześniu ubiegłego roku) jako najbardziej mocno atakowana luka w drugim kwartale 2022 roku.
„Luki w popularnym oprogramowaniu, takim jak MS Exchange Server i biblioteka Log4j, spowodowały ogromną liczbę ataków” – zauważa Sapronov. „Naszą radą dla klientów korporacyjnych jest zwrócenie szczególnej uwagi na problemy związane z zarządzaniem poprawkami”.
Czas nadać priorytet łataniu
Inni odnotowali podobny wzrost aktywności związanej z wykorzystywaniem luk w zabezpieczeniach. W kwietniu badacze z zespołu badawczego Palo Alto Networks Unit 42 zajmującego się badaniem zagrożeń odnotowali, że 31%, czyli prawie co trzeci przypadek, jak analizowali do tego momentu w 2022 r., obejmowały exploity wykorzystujące luki w zabezpieczeniach. W ponad połowie (55%) z nich cyberprzestępcy zaatakowali ProxyShell.
Badacze z Palo Alto odkryli również, że ugrupowania zagrażające zazwyczaj skanują systemy z właśnie ujawnioną usterką dosłownie kilka minut po ogłoszeniu CVE. W jednym przypadku zaobserwowali lukę w obejściu uwierzytelniania w urządzeniu sieciowym F5 (CVE-2022-1388), która była celem 2,552 razy w ciągu pierwszych 10 godzin po ujawnieniu luki.
Aktywność poeksploatacyjna jest trudna do wykrycia
Analiza danych dotyczących reakcji na incydenty przeprowadzona przez firmę Kaspersky wykazała, że w prawie 63% przypadków atakującym udało się pozostać niezauważonym w sieci przez ponad miesiąc od uzyskania pierwszego dostępu. W wielu przypadkach było to spowodowane tym, że osoby atakujące korzystały z legalnych narzędzi i platform, takich jak PowerShell, Mimikatz i PsExec, do gromadzenia danych, zwiększania uprawnień i wykonywania poleceń.
Jeśli ktoś szybko zauważył naruszenie, zazwyczaj działo się tak dlatego, że napastnicy wyrządzili oczywiste szkody, na przykład podczas ataku oprogramowania ransomware. „Atak oprogramowania ransomware jest łatwy do wykrycia, gdy dane są zaszyfrowane, ponieważ usługi są niedostępne, a na monitorze widać żądanie okupu” – mówi Sapronov.
Kiedy jednak celem są dane firmy, atakujący potrzebują więcej czasu na poruszanie się po sieci ofiary w celu zebrania niezbędnych informacji. W takich przypadkach napastnicy działają bardziej ukradkiem i ostrożniej, co sprawia, że tego rodzaju ataki są trudniejsze do wykrycia. „Aby wykryć takie przypadki, sugerujemy zastosowanie zestawu narzędzi bezpieczeństwa z telemetrią o rozszerzonym wykrywaniu i reagowaniu (EDR) oraz wdrożenie reguł wykrywania powszechnych narzędzi wykorzystywanych przez przeciwników” – mówi.
Mike Parkin, starszy inżynier techniczny w Vulcan Cyber, twierdzi, że prawdziwą korzyścią dla przedsiębiorstw jest to, że napastnicy wykorzystają każdą okazję, aby włamać się do sieci.
„Przy szeregu możliwych do wykorzystania luk w zabezpieczeniach wzrost liczby ataków nie jest zaskoczeniem” – mówi. Trudno powiedzieć, czy liczby te są wyższe w przypadku luk w zabezpieczeniach w przypadku ataków wykorzystujących dane uwierzytelniające wykorzystujące inżynierię społeczną, zauważa.
„Konkluzja jest jednak taka, że ugrupowania zagrażające wykorzystają skuteczne exploity. Jeśli w jakiejś usłudze systemu Windows pojawi się nowy exploit wykorzystujący zdalny kod, będą się do niego gromadzić i włamywać się do jak największej liczby systemów, zanim wyjdą łatki lub zostaną wdrożone reguły zapory ogniowej” – mówi.
Prawdziwym wyzwaniem są luki o długim ogonie: starsze luki, jak ProxyLogon, z wrażliwymi systemami, które zostały pominięte lub zignorowane, mówi Parkin, dodając, że łatanie musi być priorytetem.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
