top of page

Više od krađe identiteta: ciljanje javno dostupnih Microsoft servisa

Iako je krađa identiteta (Phishing) najpopularnija tehnika koju zlonamjerni akteri koriste za ulazak u organizaciju, najnovije objave američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (Cybersecurity & Infrastructure Security Agency) pokazuju da su druge najpopularnije tehnike dobivanja inicijalnog pristupa - iskorištavanje javno izloženih aplikacija ili usluga udaljenog pristupa. To omogućuje napadačima da uđu u mreže, istraže ih i ostanu neotkriveni mjesecima, prije nego što pokrenu razorne akcije poput instalacije ransomwarea.


Uzmimo slučaj ljetošnjeg napada na albansku vladu. Još u rujnu, CISA je objavila kako se napad odvijao: napadači su dobili početni pristup putem lokalnog javnog Microsoft Sharepoint poslužitelja iskorištavanjem dobro poznate (i stare) ranjivosti: CVE-2019-0604. To im je omogućilo perzistenciju na mreži čak 14 mjeseci prije nego što su izbrisali sve podatke, te mnoge javne usluge učinili neupotrebljivima.


Prošlog tjedna CISA je objavila još jedno izvješće s detaljima o napadu na neimenovanu organizaciju u sektoru obrane. I u ovoj mreži su napadači bili mnogo mjeseci, a početni pristup očito je dobiven na javnim Microsoft Exchange poslužiteljima putem iskorištavanja ranjivosti CVE-2021-26855, CVE-2021-26857, CVE-2021 -26858 i CVE-2021-27065. Upravo su te ranjivosti dospjele među CISA-ine najpopularnije CVE-ove koje aktivno iskorištavaju kineski akteri, sponzorirani od strane države.


Dakle, koje su naučene lekcije:

  1. Zlonamjerni akteri ciljaju na lokalno instalirane Microsoftove poslužitelje koji su izloženi na internetu, najčešće su to Exchange i Sharepoint serveri: oni se naširoko koriste u okruženjima korisnika i sadrže mnoge dobro poznate ranjivosti koje se mogu iskoristiti.

  2. Često nedostaje održavanje lokalnih poslužitelja: ono zahtijeva marljivo upravljanje IT imovinom i stalnu pažnju - a tu većina organizacija zakaže. Usporedite to sa SaaS ponudama kao što je Exchange Online: npr. nedavno objavljene Exchange ranjivosti CVE-2022-41040 i CVE-2022-41082 zahtijevaju stalnu pozornost i puno intervencija za ublažavanje ove ranjivosti, a još nema objavljene zakrpe. S druge strane, znakovito je da Microsoft kaže kako klijenti Exchange Onlinea "ne trebaju ništa poduzimati", budući da Microsoft puno više radi na ublažavanju tih CVE-ova globalno na svojim vlastitim poslužiteljima.



Comments


Latest news

bottom of page