Kršitve, ki vključujejo lažno predstavljanje in ogrožanje poverilnic, so v zadnjih letih prejele veliko pozornosti zaradi tega, kako pogosto so akterji groženj uporabili te taktike pri izvajanju ciljanih in oportunističnih napadov. Toda to ne pomeni, da si lahko podjetniške organizacije privoščijo, da vsaj malo zmanjšajo svojo osredotočenost na popravljanje ranljivosti.
Poročilo družbe Kaspersky ta teden je odkrilo več začetnih vdorov v lanskem letu, ki so posledica izkoriščanja ranljivosti v internetnih aplikacijah, kot kršitev, ki vključujejo zlonamerno e-pošto in ogrožene račune. kombinirani. Podatki, ki jih je podjetje zbralo v drugem četrtletju leta 2022, kažejo, da bi se isti trend morda odvijal tudi letos.
Kasperskyjeva analiza svojega leta 2021 podatki o odzivu na incidente so pokazali, da so kršitve, ki vključujejo izkoriščanje ranljivosti, narasle z 31.5 % vseh incidentov v letu 2020 na 53.6 % v letu 2021. V istem obdobju so napadi, povezani z uporabo ogroženih računov za pridobitev začetnega dostopa, upadli z 31.6 % v letu 2020 na 17.9 % lansko leto. Začetni vdori zaradi lažnega predstavljanja e-pošte so se v istem obdobju zmanjšali s 23.7 % na 14.3 %.
Napake strežnika Exchange spodbujajo norijo izkoriščanja
Kaspersky je lanski porast dejavnosti izkoriščanja verjetno povezal s številnimi kritičnimi ranljivostmi strežnika Exchange Server, ki jih je razkril Microsoft, vključno z nizom štirih ničelnih dni marca 2021, znanih kot Pomanjkljivosti programa ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Ko so bili povezani skupaj, so napadalcem omogočili popoln daljinski nadzor nad lokalnimi strežniki Exchange.
Napadalci, ki so vključevali organizirane kriminalne združbe in državno sponzorirane skupine iz Kitajske, so hitro izkoristili na desettisoče ranljivih sistemov Exchange Server in nanje spustili spletne lupine, preden je Microsoft lahko izdal popravek za pomanjkljivosti. Ranljivosti so zaradi svoje vseprisotnosti in resnosti vzbudile veliko zaskrbljenost. Ameriško ministrstvo za pravosodje so celo spodbudili, da FBI pooblasti, da sprejme korak brez primere proaktivno odstranjevanje spletnih lupin ProxyLogon s strežnikov, ki pripadajo stotinam organizacij — v večini primerov brez kakršnega koli obvestila.
Dejavnost izkoriščanja v letu 2021 je spodbujala še ena trojica ranljivosti strežnika Exchange Server s skupnim imenom ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523), ki so jih napadalci v veliki meri uporabljali za odstranitev izsiljevalske programske opreme in v napadih ogrožanja poslovne e-pošte (BEC).
Več kot leto kasneje sta ranljivosti ProxyLogon in ProxyShell še naprej tarči obsežnih dejavnosti izkoriščanja, pravi Konstantin Sapronov, vodja Kasperskyjeve globalne ekipe za odzivanje v sili. Ena najhujših teh napak (CVE-2021-26855) je bil tudi najbolj tarčen. Kaspersky je opazil, da je bila ranljivost – del nabora ProxyLogon – izkoriščena v 22.7 % vseh incidentov, ki so vključevali izkoriščanje ranljivosti, na katere se je odzval leta 2021, in po besedah Sapronova je napaka še naprej priljubljena med napadalci tudi letos.
Isti trend izkoriščanja se bo najverjetneje odvijal leta 2022
Čeprav se je letos pojavilo več resnih ranljivosti – vključno z vseprisotna ranljivost Apache Log4j (CVE-2021-44228) — najbolj izkoriščene ranljivosti leta 2021 ostajajo zelo razširjene tudi v letu 2022, pravi Sapronov, tudi onkraj napak strežnika Exchange. Kaspersky je na primer prepoznal napako v Microsoftovem brskalniku MSHTML (CVE-2021-40444, popravljen septembra lani) kot najbolj močno napadena ranljivost v drugem četrtletju 2022.
"Ranljivosti v priljubljeni programski opremi, kot sta MS Exchange Server in knjižnica Log4j, so povzročile ogromno število napadov," ugotavlja Sapronov. "Naš nasvet poslovnim strankam je, naj bodo zelo pozorni na vprašanja upravljanja popravkov."
Čas je, da damo prednost popravkom
Drugi so opazili podoben porast dejavnosti izkoriščanja ranljivosti. Aprila so raziskovalci iz skupine za raziskovanje groženj Unit 42 podjetja Palo Alto Networks ugotovili, kako 31 % oz. skoraj vsak tretji dogodek, ki so jih analizirali do te točke leta 2022, je vključevalo izkoriščanje ranljivosti. V več kot polovici (55 %) so akterji groženj ciljali na ProxyShell.
Raziskovalci iz Palo Alta so tudi ugotovili, da akterji groženj običajno pregledujejo sisteme s pravkar razkrito napako dobesedno nekaj minut po objavi CVE. V enem primeru so opazili napako v obvodu avtentikacije v omrežni napravi F5 (CVE-2022-1388), ki je bila tarča 2,552-krat v prvih 10 urah po razkritju ranljivosti.
Dejavnost po izkoriščanju je težko opaziti
Analiza podatkov o odzivu na incidente družbe Kaspersky je pokazala, da je v skoraj 63 % primerov napadalcem uspelo ostati neopaženi v omrežju več kot mesec dni po prvem vstopu. V mnogih primerih je bilo to zato, ker so napadalci uporabljali zakonita orodja in okvire, kot so PowerShell, Mimikatz in PsExec, za zbiranje podatkov, stopnjevanje privilegijev in izvajanje ukazov.
Ko je nekdo hitro opazil kršitev, je bilo to običajno zato, ker so napadalci povzročili očitno škodo, na primer med napadom izsiljevalske programske opreme. »Napad izsiljevalske programske opreme je preprosto zaznati, ko so vaši podatki šifrirani, saj storitve niso na voljo in imate na monitorju obvestilo o odkupnini,« pravi Sapronov.
Ko pa so tarča podatki podjetja, potrebujejo napadalci več časa, da se sprehajajo po omrežju žrtve, da zberejo potrebne informacije. V takih primerih napadalci delujejo bolj prikrito in previdno, zaradi česar je tovrstne napade težje odkriti. »Za odkrivanje takšnih primerov predlagamo uporabo nabora varnostnih orodij z razširjeno telemetrijo, ki je podobna zaznavanju in odzivu (EDR), in izvajanje pravil za odkrivanje prodornih orodij, ki jih uporabljajo nasprotniki,« pravi.
Mike Parkin, višji tehnični inženir pri Vulcan Cyber, pravi, da je pravi zaključek za podjetniške organizacije ta, da bodo napadalci izkoristili vsako priložnost, da vdrejo v omrežje.
»Z nizom ranljivosti, ki jih je mogoče izkoristiti, ni presenetljivo videti vzpon,« pravi. Težko je reči, ali so številke višje za ranljivosti zaradi družbeno zasnovanih napadov poverilnic, ugotavlja.
»Bistvo pa je, da bodo akterji groženj uporabili izkoriščanja, ki delujejo. Če pride do novega izkoriščanja kode na daljavo v neki storitvi Windows, se bodo zgrnili k njemu in vdrli v čim več sistemov, preden pridejo popravki ali se uvedejo pravila požarnega zidu,« pravi.
Pravi izziv so dolgotrajne ranljivosti: tiste, ki so starejše, kot je ProxyLogon, z ranljivimi sistemi, ki so bili zgrešeni ali prezrti, pravi Parkin in dodaja, da mora biti popravljanje popravkov prednostna naloga.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
