Više od krađe identiteta: ciljanje javno dostupnih Microsoft servisa
Iako je krađa identiteta (Phishing) najpopularnija tehnika koju zlonamjerni akteri koriste za ulazak u organizaciju, najnovije objave američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (Cybersecurity & Infrastructure Security Agency) pokazuju da su druge najpopularnije tehnike dobivanja inicijalnog pristupa - iskorištavanje javno izloženih aplikacija ili usluga udaljenog pristupa. To omogućuje napadačima da uđu u mreže, istraže ih i ostanu neotkriveni mjesecima, prije nego što pokrenu razorne akcije poput instalacije ransomwarea.
Uzmimo slučaj ljetošnjeg napada na albansku vladu. Još u rujnu, CISA je objavila kako se napad odvijao: napadači su dobili početni pristup putem lokalnog javnog Microsoft Sharepoint poslužitelja iskorištavanjem dobro poznate (i stare) ranjivosti: CVE-2019-0604. To im je omogućilo perzistenciju na mreži čak 14 mjeseci prije nego što su izbrisali sve podatke, te mnoge javne usluge učinili neupotrebljivima.
Prošlog tjedna CISA je objavila još jedno izvješće s detaljima o napadu na neimenovanu organizaciju u sektoru obrane. I u ovoj mreži su napadači bili mnogo mjeseci, a početni pristup očito je dobiven na javnim Microsoft Exchange poslužiteljima putem iskorištavanja ranjivosti CVE-2021-26855, CVE-2021-26857, CVE-2021 -26858 i CVE-2021-27065. Upravo su te ranjivosti dospjele među CISA-ine najpopularnije CVE-ove koje aktivno iskorištavaju kineski akteri, sponzorirani od strane države.
Dakle, koje su naučene lekcije:
Zlonamjerni akteri ciljaju na lokalno instalirane Microsoftove poslužitelje koji su izloženi na internetu, najčešće su to Exchange i Sharepoint serveri: oni se naširoko koriste u okruženjima korisnika i sadrže mnoge dobro poznate ranjivosti koje se mogu iskoristiti.
Često nedostaje održavanje lokalnih poslužitelja: ono zahtijeva marljivo upravljanje IT imovinom i stalnu pažnju - a tu većina organizacija zakaže. Usporedite to sa SaaS ponudama kao što je Exchange Online: npr. nedavno objavljene Exchange ranjivosti CVE-2022-41040 i CVE-2022-41082 zahtijevaju stalnu pozornost i puno intervencija za ublažavanje ove ranjivosti, a još nema objavljene zakrpe. S druge strane, znakovito je da Microsoft kaže kako klijenti Exchange Onlinea "ne trebaju ništa poduzimati", budući da Microsoft puno više radi na ublažavanju tih CVE-ova globalno na svojim vlastitim poslužiteljima.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
