Vmware i Microsoft Exchange: pokretanje on-premises okruženja postaje sve teže
Prošlog smo tjedna saznali za dvije nove, očito nepovezane, vijesti o IT sigurnosti.
Prvo, otkrivene su dvije nove Microsoft Exchange ranjivosti (CVE-2022-41040 i CVE-2022-41082) koje očito mogu dopustiti iskorištavanje javno izloženog Exchange web sučelja za daljinsko izvršavanje koda. Čini se da su ranjivosti već iskorištene od strane nekih aktera prijetnji, pa su dospjele u CISA-in Known Exploited Vulnerabilities Catalog. Iako ih nije lako iskoristiti (potreban je autentificirani pristup), Microsoft još uvijek nije zakrpao ranjivosti, što mnoge on-prem Exchange instalacije ostavlja izloženima širom svijeta.
Drugo, nedavna istraživanja sigurnosne tvrtke Mandiant, sugeriraju da napadači ciljaju sam operativni sustav VMware ESXi kako bi održali trajni administrativni pristup hipervizoru, a zatim također poslali naredbe koje će biti preusmjerene na izvršenje na gostujući VM. Ovo napadačima nudi novi pristup lateralnom kretanju kroz organizacije, i usporedivo je s mogućnostima koje imaju s Microsoft Active Directoryjem. Kako je Vmware vSphere platforma postavljena u velikoj većini tvrtki, možemo očekivati da će biti uspješno područje razvoja za mnoge aktere prijetnji.
Zapravo, kako rješenja za otkrivanje i odgovor end pointa (EDR) poboljšavaju učinkovitost otkrivanja zlonamjernog softvera na Windows sustavima, akteri prijetnji su se prebacili na razvoj i implementaciju zlonamjernog softvera na sustavima koji općenito ne podržavaju EDR, kao što su mrežni uređaji, SAN polja i VMware ESXi poslužitelji.
Što je zajedničko svim gore navedenim pogođenim sustavima? Svi su instalirani, pokreću se i održavaju lokalno. I on-prem Exchange poslužitelj kao i lokalno izgrađeni Vmware IaaS zahtijevaju sve veću količinu znanja (i troškova) kako bi se mogli obraniti od modernih napadača.
Samo uzmite u obzir korake ublažavanja za CVE-2022-41040 i CVE-2022-41082 koje je ovdje predložio Microsoft, gdje je jasno da su potrebne mnoge intervencije samo da bi se ova rupa mogla razumno zatvoriti; i, naravno, potrebno je kontinuirano praćenje razvoja situacije, jer je problem u tijeku. Znakovito je da Microsoft kaže da korisnici Exchange Onlinea "ne trebaju ništa poduzimati".
Ili pogledajte ublažavanja koje nudi Vmware. Vrlo su generički i nejasna, ostavljajući mnoge administratore i CISO-e nesigurnima mogu li i kada mirno spavati.
Istina je da kako se krajolik prijetnji razvija, a ranjivosti lokalnih sustava sve više istražuju i otkrivaju od aktera prijetnji, ono postaje imperativ za organizaciju da učinkovito prepusti softver i infrastrukturu samom pružatelju usluga. Stoga, veće oslanjanje na SaaS i IaaS zapravo pruža više sigurnosti i više vremena za obranu od modernih prijetnji i postaje bitan korak za ublažavanje rizika i pripremu organizacije za buduće izazove.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
