Više od phishinga: ciljanje javno dostupnih Microsoftovih usluga
Iako je phishing najpopularnija tehnika koju zlonamjerni akteri koriste za ulazak u organizaciju, najnovija saopšenja za javnost američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (Cybersecurity & Infrastructure Security Agency) pokazuju da su druge najpopularnije tehnike dobivanja inicijalnog pristupa - iskorištavanje javno izloženih aplikacija ili usluga udaljenog pristupa. To omogućuje napadačima da uđu u mreže, ispitaju ih i ostanu neotkriveni mjesecima, prije nego što pokrenu razorne akcije poput instalacije ransomware-a.
Uzmimo slučaj ljetošnjeg napada na albansku vladu. Još u septembru, CISA je objavila objavila kako se napad odvijao: napadači su dobili početni pristup putem lokalnog javnog Microsoft Sharepoint servera iskorištavanjem dobro poznate (i stare) ranjivosti: CVE-2019-0604. To im je omogućilo perzistenciju na mreži 14 mjeseci prije nego što su izbrisali sve podatke, čineći mnoge javne usluge neupotrebljivima.
Prošle sedmice, CISA je objavila još jedan izvještaj u kojem se detaljno opisuje napad na neimenovanu organizaciju u sektoru odbrane. I u ovoj mreži su napadači bili mnogo meseci, a inicijalni pristup je očigledno stečen na javnim Microsoft Exchange serverima putem iskorištavanja ranjivosti CVE-2021-26855, CVE-2021-26857, CVE-2021 -26858 i CVE-2021-27065. Ove ranjivosti su među najpopularnijm CVE-ovima koje aktivno iskorištavaju kineski akteri, sponzorirani od strane države.
Dakle, koje su naučene lekcije:
Zlonamjerni akteri ciljaju na lokalno instalirane Microsoftove servere koji su izloženi na internetu: najčešće su to Exchange i Sharepoint serveri: oni se naširoko koriste u okruženjima korisnika i sadrže mnoge dobro poznate ranjivosti koje se mogu iskoristiti.
Često nedostaje održavanje lokalnih servera: ono zahtijeva marljivo upravljanje IT imovinom i stalnu pažnju - a tu većina organizacija ne uspijeva. Usporedite to sa SaaS ponudama kao što je Exchange Online: npr. nedavno objavljene Exchange ranjivosti CVE-2022-41040 i CVE-2022-41082 zahtijevaju stalnu pažnju i puno intervencija za ublažavanje ove ranjivosti, a još nema objavljene zakrpe. Znakovito je da Microsoft kaže da klijenti Exchange Onlinea "ne moraju ništa da preduzimaju", budući da Microsoft čini mnogo više da ublaži ove CVE-ove globalno na svojim serverima.