Các vi phạm liên quan đến lừa đảo và xâm phạm thông tin xác thực đã nhận được rất nhiều sự chú ý trong những năm gần đây vì mức độ thường xuyên mà các tác nhân đe dọa sử dụng các chiến thuật này để thực hiện cả các cuộc tấn công có mục tiêu và cơ hội. Nhưng điều đó không có nghĩa là các tổ chức doanh nghiệp có thể giảm bớt sự tập trung vào việc vá lỗ hổng một chút.
Một báo cáo từ Kaspersky trong tuần này đã xác định nhiều vụ xâm nhập ban đầu hơn vào năm ngoái do khai thác lỗ hổng trong các ứng dụng truy cập Internet hơn là các vụ vi phạm liên quan đến email độc hại và tài khoản bị xâm nhập kết hợp. Và dữ liệu mà công ty đã thu thập trong quý 2022 năm XNUMX cho thấy xu hướng tương tự cũng có thể diễn ra trong năm nay.
Phân tích của Kaspersky về năm 2021 dữ liệu phản hồi sự cố cho thấy các vi phạm liên quan đến khai thác lỗ hổng đã tăng từ 31.5% trong tổng số sự cố vào năm 2020 lên 53.6% vào năm 2021. Trong cùng thời gian, các cuộc tấn công liên quan đến việc sử dụng tài khoản bị xâm nhập để giành quyền truy cập ban đầu đã giảm từ 31.6% vào năm 2020 xuống còn 17.9 % năm ngoái. Các vụ xâm nhập ban đầu do email lừa đảo đã giảm từ 23.7% xuống 14.3% trong cùng thời kỳ.
Lỗ hổng máy chủ Exchange thúc đẩy sự điên cuồng khai thác
Kaspersky cho rằng hoạt động khai thác tăng đột biến vào năm ngoái có khả năng liên quan đến nhiều lỗ hổng Exchange Server quan trọng mà Microsoft đã tiết lộ, bao gồm tập hợp bốn lỗ hổng zero-day vào tháng 2021 năm XNUMX được gọi là lỗ hổng bảo mật. Lỗ hổng đăng nhập proxy (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Khi được liên kết với nhau, chúng cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn từ xa đối với Máy chủ Exchange tại chỗ.
Những kẻ tấn công — bao gồm các băng nhóm tội phạm có tổ chức và các nhóm được nhà nước bảo trợ từ Trung Quốc — đã nhanh chóng khai thác hàng chục nghìn hệ thống Exchange Server dễ bị tấn công và thả Web shell vào chúng trước khi Microsoft có thể phát hành bản vá cho các lỗ hổng. Các lỗ hổng gợi lên mối quan tâm đáng kể vì tính phổ biến và mức độ nghiêm trọng của chúng. Họ thậm chí còn khiến Bộ Tư pháp Hoa Kỳ ủy quyền cho FBI thực hiện bước chưa từng có là chủ động loại bỏ vỏ Web ProxyLogon từ các máy chủ thuộc hàng trăm tổ chức — trong hầu hết các trường hợp, không có bất kỳ thông báo nào.
Cũng thúc đẩy hoạt động khai thác vào năm 2021 là bộ ba lỗ hổng Exchange Server khác được dán nhãn chung ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) mà những kẻ tấn công đã sử dụng rộng rãi để thả phần mềm tống tiền và trong các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC).
Konstantin Sapronov, người đứng đầu Nhóm ứng phó khẩn cấp toàn cầu của Kaspersky, cho biết hơn một năm sau, các lỗ hổng ProxyLogon và ProxyShell tiếp tục trở thành mục tiêu của hoạt động khai thác nghiêm trọng. Một trong những sai sót nghiêm trọng nhất (CVE-2021-26855) cũng đã được nhắm mục tiêu nhiều nhất. Theo Sapronov, Kaspersky đã quan sát thấy lỗ hổng — một phần của bộ ProxyLogon — đang bị khai thác trong 22.7% trong tất cả các sự cố liên quan đến khai thác lỗ hổng mà hãng đã phản hồi vào năm 2021 và lỗ hổng này cũng tiếp tục là mục tiêu ưa thích của những kẻ tấn công trong năm nay, theo Sapronov.
Xu hướng khai thác tương tự có khả năng diễn ra vào năm 2022
Mặc dù một số lỗ hổng nghiêm trọng đã xuất hiện trong năm nay - bao gồm cả lỗ hổng Apache Log4j phổ biến (CVE-2021-44228) — Sapronov cho biết, các lỗ hổng bị khai thác nhiều nhất năm 2021 vẫn rất phổ biến vào năm 2022, thậm chí còn vượt ra ngoài các lỗi máy chủ Exchange. Ví dụ: Kaspersky đã xác định một lỗ hổng trong công cụ trình duyệt MSHTML của Microsoft (CVE-2021-40444, được vá vào tháng XNUMX năm ngoái) là lỗ hổng nghiêm trọng nhất. lỗ hổng bị tấn công nặng nề vào quý 2022 năm XNUMX.
Sapronov lưu ý: “Các lỗ hổng trong phần mềm phổ biến như MS Exchange Server và thư viện Log4j đã dẫn đến một số lượng lớn các cuộc tấn công”. “Lời khuyên của chúng tôi dành cho khách hàng doanh nghiệp là hãy hết sức chú ý đến các vấn đề quản lý bản vá.”
Đã đến lúc ưu tiên vá lỗi
Những người khác đã ghi nhận sự tăng đột biến tương tự trong hoạt động khai thác lỗ hổng. Vào tháng 42, các nhà nghiên cứu từ nhóm nghiên cứu mối đe dọa Unit 31 của Palo Alto Networks đã ghi nhận XNUMX%, hoặc gần một trong ba sự cố, họ đã phân tích cho đến thời điểm đó vào năm 2022 liên quan đến việc khai thác lỗ hổng. Hơn một nửa (55%) trong số đó, các tác nhân đe dọa đã nhắm mục tiêu vào ProxyShell.
Các nhà nghiên cứu của Palo Alto cũng phát hiện ra rằng các tác nhân đe dọa thường quét các hệ thống có lỗ hổng vừa được tiết lộ chỉ vài phút sau khi CVE được công bố. Trong một trường hợp, họ đã quan sát thấy lỗ hổng bỏ qua xác thực trong thiết bị mạng F5 (CVE-2022-1388) được nhắm mục tiêu 2,552 lần trong 10 giờ đầu tiên sau khi tiết lộ lỗ hổng.
Hoạt động sau khai thác khó phát hiện
Phân tích của Kaspersky về dữ liệu ứng phó sự cố cho thấy trong gần 63% trường hợp, những kẻ tấn công đã cố gắng không bị phát hiện trong mạng trong hơn một tháng sau khi xâm nhập lần đầu. Trong nhiều trường hợp, điều này là do những kẻ tấn công đã sử dụng các công cụ và khung hợp pháp như PowerShell, Mimikatz và PsExec để thu thập dữ liệu, nâng cấp đặc quyền và thực thi các lệnh.
Khi ai đó nhanh chóng nhận thấy hành vi vi phạm, nguyên nhân thường là do những kẻ tấn công đã tạo ra thiệt hại rõ ràng, chẳng hạn như trong một cuộc tấn công bằng ransomware. Sapronov cho biết: “Thật dễ dàng để phát hiện một cuộc tấn công bằng ransomware khi dữ liệu của bạn được mã hóa, vì các dịch vụ không khả dụng và bạn có thông báo đòi tiền chuộc trên màn hình của mình”.
Nhưng khi mục tiêu là dữ liệu của công ty, kẻ tấn công cần nhiều thời gian hơn để đi lang thang khắp mạng của nạn nhân để thu thập thông tin cần thiết. Trong những trường hợp như vậy, những kẻ tấn công hành động lén lút và thận trọng hơn, điều này khiến những kiểu tấn công này khó bị phát hiện hơn. Ông nói: “Để phát hiện những trường hợp như vậy, chúng tôi khuyên bạn nên sử dụng một nhóm công cụ bảo mật có tính năng đo từ xa giống như phát hiện và phản hồi mở rộng (EDR), đồng thời triển khai các quy tắc để phát hiện các công cụ phổ biến được kẻ thù sử dụng”.
Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, cho biết vấn đề thực sự đối với các tổ chức doanh nghiệp là những kẻ tấn công sẽ tận dụng mọi cơ hội có thể để xâm phạm mạng.
Ông nói: “Với một loạt lỗ hổng có thể khai thác được, không có gì ngạc nhiên khi thấy số lượng lỗ hổng tăng lên”. Ông lưu ý rằng liệu con số về các lỗ hổng trong các cuộc tấn công thông tin xác thực được thiết kế theo kiểu xã hội có cao hơn hay không.
“Nhưng điểm mấu chốt là những kẻ đe dọa sẽ sử dụng những cách khai thác có hiệu quả. Nếu có một cách khai thác mã từ xa mới trên một số dịch vụ Windows, họ sẽ đổ xô vào đó và xâm phạm nhiều hệ thống nhất có thể trước khi các bản vá xuất hiện hoặc các quy tắc tường lửa được triển khai,” ông nói.
Thách thức thực sự là các lỗ hổng đuôi dài: Những lỗ hổng cũ hơn, như ProxyLogon, với các hệ thống dễ bị tổn thương đã bị bỏ qua hoặc bị bỏ qua, Parkin nói và thêm rằng việc vá lỗi phải được ưu tiên.
