Vmware i Microsoft Exchange: pokretanje on-premises okruženja postaje sve teže
Prošle nedelje smo saznali za dve nove, naizgled nepovezane, vesti o IT sigurnosti.
Prvo, otkrivene su dve nove Microsoft Exchange ranjivosti (CVE-2022-41040 i CVE-2022-41082) koje očigledno mogu dozvoliti iskorišćavanje javno izloženog Exchange web interfejsa za daljinsko izvršavanje koda. Čini se da su ranjivosti već iskorišćene od strane nekih aktera pretnji, što ih je uvrstilo u CISA-in Known Exploited Vulnerabilities Catalog. Iako nije lako iskorišćavati (zahteva autentifikovan pristup), Microsoft još uvek nije zakrpio ranjivosti, ostavljajući mnoge on-prem Exchange instalacije širom sveta izložene.
Drugo, nedavna istraživanja sigurnosne firme Mandiant, sugeriše da napadači ciljaju na sam operativni sistem VMware ESXi kako bi zadržali trajni administrativni pristup hipervizoru, a zatim šalju komande koje će biti preusmjerene na izvršenje na gostujući VM. Ovo napadačima nudi novi pristup lateralnom kretanju kroz organizacije, i uporedivo je s mogućnostima koje imaju s Microsoft Active Directory-em. Kako je Vmware vSphere platforma raspoređena u velikoj većini kompanija, možemo očekivati da će biti uspešno razvojno područje za mnoge aktere pretnji.
U stvari, kako rešenja za otkrivanje i odgovor end pointa (EDR) poboljšavaju efikasnost otkrivanja malvera na Windows sistemima, akteri pretnji prešli su na razvoj i primenu malvera na sisteme koji generalno ne podržavaju EDR, kao što su mrežni uređaji, SAN nizovi i VMware ESXi serveri.
Šta je zajedničko svim gore navedenim pogođenim sistemima? Svi su instalirani, pokreću se i održavaju lokalno. I on-prem Exchange server, kao i lokalno izgrađen Vmware IaaS, zahtevaju sve veću količinu znanja (i troškova) za odbranu od savremenih napadača.
Razmotrite samo korake za ublažavanje za CVE-2022-41040 i CVE-2022-41082 koje je ovde predložio Microsoft, gde je jasno da su potrebne mnoge intervencije samo da bi se razumno zatvorila ova rupa; i, naravno, potrebno je kontinuirano pratiti situacije, jer problem i dalje postoji. Zanimljivo je da Microsoft kaže da korisnici Exchange Onlinea "ne trebaju ništa da preduzimaju".
Ili pogledajte ublažavanja koje nudi Vmware. Vrlo su generički i nejasna, zbog čega mnogi administratori i CISO-i nisu sigurni da li i kada mogu mirno spavati
Istina je da, kako se okruženje pretnji razvija, a ranjivosti lokalnih sistema sve više istražuju i otkrivaju od aktera pretnji, ono postaje imperativ za organizaciju da efikasno preda softver i infrastrukturu samom dobavljaču usluga. Stoga, veće oslanjanje na SaaS i IaaS zapravo pruža više sigurnosti i više vremena za odbranu od savremenih pretnji, postajući suštinski korak za ublažavanje rizika i pripremu organizacije za buduće izazove.
