Exploits de vulnerabilidade, não phishing, são o principal vetor de ataque cibernético para comprometimento inicial

As violações que envolvem phishing e comprometimento de credenciais têm recebido muita atenção nos últimos anos devido à frequência com que os agentes de ameaças empregaram as táticas na execução de ataques direcionados e oportunistas. Mas isso não significa que as organizações empresariais possam se dar ao luxo de diminuir nem um pouco seu foco na correção de vulnerabilidades.

Um relatório da Kaspersky esta semana identificou mais invasões iniciais no ano passado resultantes da exploração de vulnerabilidades em aplicativos voltados para a Internet do que violações envolvendo e-mails maliciosos e contas comprometidas combinado. E os dados que a empresa coletou durante o segundo trimestre de 2022 sugerem que a mesma tendência também pode estar ocorrendo este ano.

Análise da Kaspersky sobre seu ano de 2021 dados de resposta a incidentes mostraram que as violações envolvendo explorações de vulnerabilidades aumentaram de 31.5% de todos os incidentes em 2020 para 53.6% em 2021. No mesmo período, os ataques associados ao uso de contas comprometidas para obter acesso inicial diminuíram de 31.6% em 2020 para 17.9. % ano passado. As intrusões iniciais resultantes de e-mails de phishing diminuíram de 23.7% para 14.3% durante o mesmo período.

Falhas no servidor Exchange alimentam o frenesi de exploração

A Kaspersky atribuiu o aumento na atividade de exploração no ano passado como provavelmente ligado às múltiplas vulnerabilidades críticas do Exchange Server que a Microsoft divulgou, incluindo um conjunto de quatro dias zero em março de 2021 conhecido como Falhas do ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Quando encadeados, eles permitiram que os invasores obtivessem controle remoto completo sobre servidores Exchange locais. 

Os invasores – que incluíam gangues criminosas organizadas e grupos patrocinados pelo Estado da China – exploraram rapidamente dezenas de milhares de sistemas Exchange Server vulneráveis ​​e lançaram shells da Web sobre eles antes que a Microsoft pudesse lançar um patch para as falhas. As vulnerabilidades suscitaram considerável preocupação devido à sua onipresença e gravidade. Eles até levaram o Departamento de Justiça dos EUA a autorizar o FBI a tomar a medida sem precedentes de removendo proativamente shells da Web ProxyLogon de servidores pertencentes a centenas de organizações — na maioria dos casos, sem qualquer notificação.

Também impulsionando a atividade de exploração em 2021 estava outro trio de vulnerabilidades do Exchange Server rotulados coletivamente como ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) que os invasores usaram extensivamente para descartar ransomware e em ataques de comprometimento de e-mail comercial (BEC).

Mais de um ano depois, as vulnerabilidades ProxyLogon e ProxyShell continuam a ser alvos de intensa atividade de exploração, afirma Konstantin Sapronov, chefe da Equipe Global de Resposta a Emergências da Kaspersky. Uma das falhas mais graves (CVE-2021-26855) também tem sido o mais visado. A Kaspersky observou a vulnerabilidade – parte do conjunto ProxyLogon – sendo explorada em 22.7% de todos os incidentes envolvendo explorações de vulnerabilidade aos quais respondeu em 2021, e a falha continua a ser a favorita entre os invasores também este ano, de acordo com Sapronov.

A mesma tendência de exploração provavelmente ocorrerá em 2022

Embora várias vulnerabilidades graves tenham surgido este ano – incluindo o Vulnerabilidade onipresente do Apache Log4j (CVE-2021-44228) — as vulnerabilidades mais exploradas de 2021 também permanecem muito prevalentes em 2022, diz Sapronov, mesmo além dos bugs do servidor Exchange. Por exemplo, a Kaspersky identificou uma falha no mecanismo de navegador MSHTML da Microsoft (CVE-2021-40444, corrigido em setembro passado) como a mais vulnerabilidade fortemente atacada no segundo trimestre de 2022.

“Vulnerabilidades em softwares populares como o MS Exchange Server e a biblioteca Log4j resultaram em um grande número de ataques”, observa Sapronov. “Nosso conselho aos clientes corporativos é prestar muita atenção aos problemas de gerenciamento de patches.”

É hora de priorizar o patch

Outros notaram um aumento semelhante na atividade de exploração de vulnerabilidades. Em abril, pesquisadores da equipe de pesquisa de ameaças da Unidade 42 da Palo Alto Networks observaram como 31%, ou quase um em cada três incidentes, eles analisaram até aquele ponto em 2022, envolviam explorações de vulnerabilidades. Em mais da metade (55%) deles, os agentes da ameaça tinham como alvo o ProxyShell. 

Os pesquisadores de Palo Alto também descobriram que os agentes de ameaças normalmente procuram sistemas com uma falha recém-divulgada, literalmente minutos após o anúncio do CVE. Em um caso, eles observaram uma falha de desvio de autenticação em um dispositivo de rede F5 (CVE-2022-1388) sendo alvo de 2,552 vezes nas primeiras 10 horas após a divulgação da vulnerabilidade.

A atividade pós-exploração é difícil de detectar

A análise da Kaspersky aos seus dados de resposta a incidentes mostrou que, em quase 63% dos casos, os atacantes conseguiram passar despercebidos numa rede durante mais de um mês após conseguirem a entrada inicial. Em muitos casos, isso ocorreu porque os invasores usaram ferramentas e estruturas legítimas, como PowerShell, Mimikatz e PsExec, para coletar dados, aumentar privilégios e executar comandos. 

Quando alguém notou rapidamente uma violação, normalmente foi porque os invasores criaram danos óbvios, como durante um ataque de ransomware. “É fácil detectar um ataque de ransomware quando seus dados estão criptografados, pois os serviços não estão disponíveis e você tem uma nota de resgate em seu monitor”, diz Sapronov.

Mas quando o alvo são os dados de uma empresa, os invasores precisam de mais tempo para percorrer a rede da vítima para coletar as informações necessárias. Nesses casos, os invasores agem de forma mais furtiva e cautelosa, o que torna esses tipos de ataques mais difíceis de detectar. “Para detectar esses casos, sugerimos empregar uma pilha de ferramentas de segurança com telemetria semelhante à detecção e resposta estendida (EDR) e implementar regras para detecção de ferramentas difundidas usadas por adversários”, diz ele.

Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que a verdadeira conclusão para as organizações empresariais é que os invasores aproveitarão qualquer oportunidade que puderem para violar uma rede. 

“Com uma série de vulnerabilidades exploráveis, não é uma surpresa ver um aumento”, diz ele. É difícil dizer se os números são maiores para vulnerabilidades em relação a ataques de credenciais de engenharia social, observa ele. 

“Mas o resultado final é que os agentes da ameaça usarão as explorações que funcionam. Se houver uma nova exploração remota de código em algum serviço do Windows, eles irão migrar para ele e violar tantos sistemas quanto puderem antes que os patches sejam lançados ou as regras de firewall sejam implantadas”, diz ele.

O verdadeiro desafio são as vulnerabilidades de cauda longa: aquelas que são mais antigas, como o ProxyLogon, com sistemas vulneráveis ​​que foram perdidos ou ignorados, diz Parkin, acrescentando que a correção deve ser uma prioridade.