Vmware i Microsoft Exchange: pokretanje on-premises okruženja postaje sve teže

Prošlog smo tjedna saznali za dvije nove, očito nepovezane, vijesti o IT sigurnosti.

Prvo, otkrivene su dvije nove Microsoft Exchange ranjivosti (CVE-2022-41040 i CVE-2022-41082) koje očito mogu dopustiti iskorištavanje javno izloženog Exchange web sučelja za daljinsko izvršavanje koda. Čini se da su ranjivosti već iskorištene od strane nekih aktera prijetnji, pa su dospjele u CISA-in Known Exploited Vulnerabilities Catalog. Iako ih nije lako iskoristiti (potreban je autentificirani pristup), Microsoft još uvijek nije zakrpao ranjivosti, što mnoge on-prem Exchange instalacije ostavlja izloženima širom svijeta.

Drugo, nedavna istraživanja sigurnosne tvrtke Mandiant, sugeriraju da napadači ciljaju sam operativni sustav VMware ESXi kako bi održali trajni administrativni pristup hipervizoru, a zatim također poslali naredbe koje će biti preusmjerene na izvršenje na gostujući VM. Ovo napadačima nudi novi pristup lateralnom kretanju kroz organizacije, i usporedivo je s mogućnostima koje imaju s Microsoft Active Directoryjem. Kako je Vmware vSphere platforma postavljena u velikoj većini tvrtki, možemo očekivati ​​da će biti uspješno područje razvoja za mnoge aktere prijetnji.

Zapravo, kako rješenja za otkrivanje i odgovor end pointa (EDR) poboljšavaju učinkovitost otkrivanja zlonamjernog softvera na Windows sustavima, akteri prijetnji su se prebacili na razvoj i implementaciju zlonamjernog softvera na sustavima koji općenito ne podržavaju EDR, kao što su mrežni uređaji, SAN polja i VMware ESXi poslužitelji.

Što je zajedničko svim gore navedenim pogođenim sustavima? Svi su instalirani, pokreću se i održavaju lokalno. I on-prem Exchange poslužitelj kao i lokalno izgrađeni Vmware IaaS zahtijevaju sve veću količinu znanja (i troškova) kako bi se mogli obraniti od modernih napadača.

Samo uzmite u obzir korake ublažavanja za CVE-2022-41040 i CVE-2022-41082 koje je ovdje predložio Microsoft, gdje je jasno da su potrebne mnoge intervencije samo da bi se ova rupa mogla razumno zatvoriti; i, naravno, potrebno je kontinuirano praćenje razvoja situacije, jer je problem u tijeku. Znakovito je da Microsoft kaže da korisnici Exchange Onlinea "ne trebaju ništa poduzimati".

Ili pogledajte ublažavanja koje nudi Vmware. Vrlo su generički i nejasna, ostavljajući mnoge administratore i CISO-e nesigurnima mogu li i kada mirno spavati.

Istina je da kako se krajolik prijetnji razvija, a ranjivosti lokalnih sustava sve više istražuju i otkrivaju od aktera prijetnji, ono postaje imperativ za organizaciju da učinkovito prepusti softver i infrastrukturu samom pružatelju usluga. Stoga, veće oslanjanje na SaaS i IaaS zapravo pruža više sigurnosti i više vremena za obranu od modernih prijetnji i postaje bitan korak za ublažavanje rizika i pripremu organizacije za buduće izazove.