Кибер-инциденты, вызванные уязвимостями в системе безопасности, всегда были и остаются серьезной проблемой информационной безопасности. К числу известных кибер-атак, которые использовали уязвимости, среди прочих следует отнести WannaCry, нарушение данных в Equifax и Stuxnet.
Принято считать, что уязвимость нулевого дня представляет собой самую большую угрозу, поскольку жертвы не знают об опасности, однако это далеко не так. Более 90% успешных атак можно было бы избежать, если бы своевременно применялись соответствующие патчи и обновления.
Волна атак на серверы Exchange
На прошлой неделе корпорация Microsoft предупредила о заметном росте количества попыток компрометации серверов Exchange. Хотя многие такие атаки используют фишинг и методы социальной инженерии в своих попытках скомпрометировать серверы, злоумышленники также используют уязвимость удаленного выполнения кода, влияющую на базовый компонент Internet Information Service (IIS) сервера Exchange, против которого нацелена атака.
В частности, они используют уязвимость CVE-2020-0688, для которой в феврале этого года был выпущен патч. Следствием этого недостатка безопасности является то, что все серверы Exchange последнего десятилетия используют одинаковые криптографические ключи для бэкэнда панели управления. Это, в свою очередь, означает, что хакер может установить вредоносное ПО и взять под контроль сервер, получив доступ к электронной почте жертвы.
Зачем применять патчи?
Когда Microsoft объявила об этой уязвимости в феврале, многие организации не обратили на это особого внимания и оставили свои серверы Exchange незащищенными, несмотря на предупреждения о всплеске атак в ближайшем будущем. В апреле аналитики по безопасности отметили, что в Интернете по-прежнему находится более 350 000 уязвимых серверов Exchange.
Часто после того, как злоумышленник внедрился в сервер Exchange через дыру безопасности, следующим его шагом является внедрение веб-консоли на одном из путей сервера, доступных из Интернета.
Эти инструменты используются хакерами на скомпрометированных серверах для обеспечения доступа и выполнения удаленных команд и произвольного кода, что позволяет им «доставить» вредоносную «полезную нагрузку» и осуществлять горизонтальные перемещения по сетям.
Техники «живучести»
После внедрения злоумышленники используют веб-консоль для изучения домена, и если они сталкиваются с плохо настроенным сервером, они добавляют в группы новые учетные записи с высокими привилегиями, такие как администраторы, пользователи удаленных рабочих столов и администраторы предприятия.
Это позволяет им иметь неограниченный доступ к любому пользователю или группе в организации. Затем злоумышленники используют средства Windows для поиска учетных данных учетной записи пользователя, чтобы сделать дамп памяти сервиса проверки подлинности локальной системы безопасности (LSASS).
Для того чтобы получить присутствие в памяти без необходимости доступа к жесткому диску, злоумышленники используют программное обеспечение с открытым исходным кодом, такое как Mimikatz, а в тех случаях, когда системы настроены для обнаружения этой утилиты, они используют модифицированную версию внутри оболочки, написанной на языке программирования Go.
Злоумышленники также пытаются отключить антивирусную защиту и функции сканирования файлов. Это делается для того, чтобы защитить .zip-файлы и другие инструменты сжатия файлов, такие как rar.exe, которые используются для сокрытия украденных .pst-файлов и дампов памяти.
Защитите ваши серверы Exchange
Атака на сервер Exchange может позволить противникам получить доступ ко всем видам ценной корпоративной информации. Именно по этой причине так важно защищать такие серверы.
В этом случае очень важно как можно скорее применить соответствующий патч. Он предотвратит проникновение злоумышленников в ваши системы и защитит от угрозы корпоративной безопасности. Тем не менее, для многих организаций управление уязвимостями безопасности является серьезной проблемой, и они часто не знают о наиболее критических уязвимостях.
Для этого компания Panda Security создала специальный портал для выявления наиболее критических уязвимостей. «Top Vulnerabilities 2020» - это список наиболее важных уязвимостей безопасности, обнаруженных в 2020 году и влияющих на компьютеры с операционной системой Windows, с подробными сведениями о серьезности уязвимости, вендоре и CVE.
Как видите, уязвимости - это постоянная угроза для любого вида предприятий. Не допускайте того, чтобы незащищенные дыры в системе безопасности ставили под угрозу безопасность вашей организации.
