Vmware i Microsoft Exchange: pokretanje on-premises okruženja postaje sve teže
Prošlog sedmice smo saznali za dvije nove, naizgled nepovezane, vijesti iz IT sigurnosti.
Prvo, otkrivene su dve nove Microsoft Exchange ranjivosti (CVE-2022-41040 i CVE-2022-41082) koje očigledno mogu dozvoliti eksploataciju javno izloženog Exchange web interfejsa za daljinsko izvršavanje koda. Čini se da su ranjivosti već iskoristili neki akteri prijetnji, pa su dospjeli u CISA-in Known Exploited Vulnerabilities Catalog. Iako nije lako za eksploataciju (zahteva autentifikovan pristup), Microsoft još uvek nije zakrpio ranjivosti, ostavljajući mnoge on-prem Exchange instalacije izloženima širom sveta.
Drugo, nedavna istraživanja sigurnosne firme Mandiant, sugeriraju da napadači ciljaju sam operativni sustav VMware ESXi kako bi održali trajni administrativni pristup hipervizoru, a zatim šalju komande koje će biti preusmjerene na izvršenje na gostujući VM. Ovo napadačima nudi novi pristup lateralnom kretanju kroz organizacije, i uporedivo je s mogućnostima koje imaju s Microsoft Active Directoryjem. Kako je Vmware vSphere platforma raspoređena u velikoj većini kompanija, možemo očekivati da će biti uspješno područje razvoja za mnoge aktere prijetnji.
U stvari, kako rješenja za otkrivanje i odgovor end pointa (EDR) poboljšavaju učinkovitost otkrivanja zlonamjernog softvera na Windows sistemima, akteri prijetnji su se prebacili na razvoj i implementaciju zlonamjernog softvera na sisteme koji općenito ne podržavaju EDR, kao što su mrežni uređaji, SAN nizovi i VMware ESXi serveri.
Šta je zajedničko svim gore navedenim pogođenim sistemima? Svi su instalirani, pokreću se i održavaju lokalno. I on-prem Exchange server, kao i lokalno izgrađen Vmware IaaS, zahtijevaju sve veću količinu znanja (i troškova) kako bi se mogli obraniti od modernih napadača.
Razmotrite samo korake ublažavanja za CVE-2022-41040 i CVE-2022-41082 koje je ovdje predložio Microsoft, gdje je jasno da su potrebne mnoge intervencije samo da bi se razumno zatvorila ova rupa; i, naravno, potrebno je kontinuirano pratiti situacije, jer problem traje. Zanimljivo je da Microsoft kaže da korisnici Exchange Onlinea "ne trebaju ništa da preduzimaju".
Ili pogledajte ublažavanja koje nudi Vmware. Vrlo su generički i nejasna, ostavljajući mnoge administratore i CISO-e nesigurnima da li i kada mogu mirno spavati.
Istina je da, kako se krajolik prijetnji razvija, a ranjivosti lokalnih sistema sve više istražuju i otkrivaju od aktera prijetnji, ono postaje imperativ za organizaciju da efikasno preda softver i infrastrukturu samom dobavljaču usluga. Stoga, veće oslanjanje na SaaS i IaaS zapravo pruža više sigurnosti i više vremena za odbranu od modernih prijetnji, te postaje suštinski korak za ublažavanje rizika i pripremu organizacije za buduće izazove.