In een jaar dat werd afgesloten door de SolarWinds-aanval op de toeleveringsketen van eind 2020 en de wijdverbreide Log4j-kwetsbaarheid, hebben beveiligingsteams consequent gegoocheld en prioriteit gegeven aan een voortdurende golf van bedreigingen. En daartussen hebben ze een maandelijkse Patch Tuesday-update om mee te kampen.
Hoewel Microsoft in 2021 minder kwetsbaarheden heeft gepatcht dan in 2020, heeft het bedrijf in 883 2021 bugs verholpen, zegt Aanchal Gupta, vice-president van het Microsoft Security Response Center. Sommige hiervan resulteerden in wijdverbreide exploitatie; sommige verdienden meer aandacht, en als groep weerspiegelen veel trends en patronen die beveiligingsteams in het komende jaar zouden moeten opmerken.
Een van de meest gedenkwaardige kwetsbaarheden, onthuld en gepatcht in maart 2021, waren die in on-premises versies van Microsoft Exchange Server. Op het moment dat het de kwetsbaarheden gemeldMicrosoft zei dat deze werden gebruikt in "beperkte en gerichte" aanvallen uitgevoerd door een groep genaamd Hafnium, waarvan functionarissen zeiden dat deze door de staat wordt gesponsord en vanuit China opereert.
It duurde niet lang voor de beveiligingsgemeenschap om te melden dat er waarschijnlijk meerdere bedreigingsgroepen achter een golf van kwaadaardige activiteiten zaten die zich op Exchange Servers richtten. Wat een "low and slow" activiteit was, escaleerde al snel in een hoop lawaai, met tienduizenden organisaties beïnvloed. "Dat sneeuwde heel snel", zegt Kevin Breen, directeur cyber-threat research bij Immersive Labs, over de Exchange Server-aanvallen. Binnen enkele weken nadat de geavanceerde persistente dreigingsgroepen de kwetsbaarheden misbruikten, begonnen cybercriminaliteitsgroepen het ook te adopteren.
Naast het uitbrengen van patches, heeft Microsoft destijds geproduceerd
een extra reeks beveiligingsupdates die moet worden toegepast op sommige oudere en niet-ondersteunde cumulatieve updates. In dit geval was het nodig, maar Gupta merkt op dat "we het liever niet doen", omdat het klanten ontmoedigt om te patchen.
"Bedreigingsacteurs zoals Hafnium, ze zijn geavanceerd", zegt Gupta. “Ze doen de scans; ze gaan achter iedereen aan die niet op tijd patcht.”
Maar patchen was voor veel organisaties lastig. Sommige draaiden oude versies van Exchange Server en hadden geen IT-team om te patchen; sommige waren niet klaar om te patchen. Het bedrijf heeft een mitigatietool uitgebracht, die Gupta beschrijft als een script met vijf stappen die bedrijven kunnen gebruiken om zichzelf te beschermen.
Een "nachtmerrie" voor beveiligingsteams
Beveiligingsteams hoorden later van PrintNightmare, een op afstand exploiteerbare bug die van invloed zijn op alle versies van Windows. Het bestaat in de Windows Print Spooler-service, die fungeert als een interface tussen het besturingssysteem en een printer en taken afhandelt zoals het laden van printerstuurprogramma's en het bestellen van afdruktaken. Door de fout kunnen geverifieerde aanvallers toegang krijgen op systeemniveau tot kwetsbare systemen - waaronder ook Active Directory-beheerservers en kerndomeincontrollers - en kunnen ze code uitvoeren, malware downloaden, nieuwe gebruikersaccounts maken of gegevens bekijken, wijzigen en verwijderen .
Maar de PrintNightmare-patch had zijn eigen problemen, merkt Dustin Childs op, hoofd communicatie voor het Zero-Day Initiative van Trend Micro. "Het was niet alleen dat het probleem ernstig en veelomvattend was - want dat was het zeker - maar de fixes hadden ook hun problemen ... fix na fix kwam uit."
En omdat sommige fixes niet alle problemen oplosten, werd het een voortdurende zorg. Na de eerste onthulling van het beveiligingslek heeft Microsoft een nieuwe CVE en oplossingen ervoor.
Childs gaat heen en weer over de vraag of de Exchange Server-fouten of PrintNightmare ernstiger waren. Uiteindelijk, zegt hij, hebben de Exchange Server-bugs een bredere impact die nog jaren kan aanhouden.
"We weten nog steeds niet precies hoe groot die impact was, en het is zeer waarschijnlijk dat er nog veel Exchange Servers zijn die niet zijn gepatcht, omdat het zo moeilijk is om Exchange te patchen", legt Childs uit. Dit geldt met name voor middelgrote bedrijven die Exchange Server on-premises gebruiken: de mentaliteit van "hij werkt nog, raak hem niet aan" bestaat omdat werknemers bang zijn dat de patch kapot gaat of dat er een probleem is met de patch.
Meer kwetsbaarheden in de schijnwerpers
Hoewel de kwetsbaarheden van Exchange Server en PrintNightmare het meest opvielen, waren dit niet de enige bugs waar beveiligingsteams zich dit jaar zorgen over maakten. Virsec CTO Satya Gupta wees op CVE-2021-31166, een kwetsbaarheid voor de uitvoering van externe code (RCE) in de HTTP-protocolstack voor Microsoft Internet Information Services, als een opvallende fout met een CVSS 3.0-score van 9.8 en als wormbaar beschouwd.
Een andere was CVE-2021-28476, een RCE-bug in Hyper-V waarmee een virtuele gastmachine de kernel van de Hyper-V-host kan dwingen om te lezen van een willekeurig en mogelijk ongeldig adres. "Elke Azure-box draait met Hyper-V erin", legt Gupta van Virsec uit. “Als er een kwetsbaarheid in Hyper-V zit, wordt ieders box een probleem. Ieders doos wordt kwetsbaar.”
Het probleem van deze fout was de beschikbaarheid van proof-of-concept-code, merkt hij op. Dit zorgt voor een "echt, echt vervelende" situatie omdat aanvallers toegang hebben tot de proof of concept voordat een patch wordt toegepast, wat een groter risico vormt voor kwetsbare organisaties.
Soms zal een kwetsbaarheid niet veel aandacht genereren wanneer deze voor het eerst wordt onthuld, maar later een urgentere situatie wordt. Dat was het geval met CVE-2021-42287, een kwetsbaarheid voor misbruik van bevoegdheden in Active Directory Domain Services, zegt Breen van Immersive Labs. Dit werd in november gepatcht en door Microsoft geclassificeerd als "uitbuiting minder waarschijnlijk"; vorige week werd proof-of-concept exploitcode online gepubliceerd.
Hij wijst op vier kwetsbaarheden in Open Management Infrastructure (OMI), gezamenlijk OMIGOD genoemd door de Wiz-onderzoekers die ze vonden, als opmerkelijke bugs in 2021. OMI is een veelgebruikte maar weinig bekende softwareagent die is ingebed in veel veelgebruikte Azure-services, en de meeste organisaties die Azure gebruiken, werden getroffen. Een daarvan was RCE; drie waren privilege-escalatie.
Childs wijst op de escalatie van lokale bevoegdheden als een categorie van kwetsbaarheden die vaak over het hoofd wordt gezien, maar die meer aandacht verdient van beveiligingsteams. Veel van deze zijn verschenen in verschillende Windows-componenten, worden verpakt in malware en vervolgens uitgebuit, zegt hij. Hoewel escalatie van lokale privileges op zich niet erg opwindend is, kunnen deze fouten "absoluut effectief worden in het overnemen van iemands systeem" wanneer ze worden gecombineerd met andere kwetsbaarheden, voegt hij eraan toe.
“Het is een van die dingen waarbij we ervoor moeten zorgen dat we ons concentreren op het vinden en oplossen van de bugs die steeds meer worden gebruikt, en LPE-bugs worden gebruikt door de slechteriken, dus we moeten ervoor zorgen dat we voor die bugs zorgen, " hij zegt. Zelfs de bugs die niet kritiek zijn, of een lagere CVSS-score hebben, kunnen een bedreiging vormen als een aanvaller een systeem wil overnemen.
Breen wijst ook op deze trend en merkt op dat kwetsbaarheden op het gebied van privilege-escalatie "een kernonderdeel" waren van veel aanvallen die het afgelopen jaar hebben plaatsgevonden. Veel aanvallers zullen geen RCE-fout gebruiken, maar kiezen voor social engineering, brute-forcing RDP of phishing om gebruikerstoegang te krijgen.
"Die dingen zijn echt cruciaal, omdat je niet altijd kunt beschermen tegen de zero-day RCE, maar er is veel dat je kunt doen om gebruikers te beschermen en aanvallen van privilege-escalatie te verminderen", voegt hij eraan toe.
Een evoluerende uitdaging voor verdedigers
Er zijn een paar trends in patching die de komende maanden en jaren een uitdaging kunnen vormen voor beveiligingsteams. Childs noemt als voorbeeld wat hij de 'patch gap' noemt: er komt een patch beschikbaar voor product A, maar andere producten die product A verbruiken, rollen die patch niet uit - tegen een redelijke snelheid, of helemaal niet, zegt hij.
Als voorbeeld noemt hij Google Chrome. "Ik zie dat er veel meer bugs door Chrome komen dan we in de afgelopen jaren hebben gezien", zegt Childs. Hoewel Chrome de reputatie heeft een veilige browser te zijn, merkt hij op dat mensen het aantal producten dat op Chromium draait misschien over het hoofd zien. "Hoe lang duurt het voordat alles op basis van Chrome die patches absorbeert en dan zijn ze ook beschermd?" hij voegt toe. Een vertraging tussen de release van een Chrome-update en het uitrollen van een update voor Edge Chromium kan een risico vormen.
Hetzelfde probleem doet zich voor met open source bibliotheken. Een bibliotheek kan een update uitbrengen, maar alles wat de bibliotheek verbruikt, wordt mogelijk niet bijgewerkt, afhankelijk van hoe goed ze opletten. De impact van dit probleem kan variëren, afhankelijk van de producten, zegt hij.
"De 'patch gap' komt steeds vaker voor en mensen beginnen eindelijk te begrijpen dat er gedeelde bronnen zijn die niet nauwlettend worden gecontroleerd", voegt Childs toe. Organisaties moeten de bibliotheken die ze importeren controleren om er zeker van te zijn dat updates worden gebruikt, hoewel het moeilijk is om alles op te volgen dat moet worden gepatcht.
Dat leidt tot een ander probleem op het gebied van bedrijfsbeveiliging: veel IT- en beveiligingsteams weten niet hoeveel patches ze moeten uitrollen vanwege het hoge volume en de grote hoeveelheid producten die ze gebruiken. Er is geen centrale locatie waar alle producten en diensten worden vermeld die moeten worden bijgewerkt; ze zijn bang dat automatische updates dingen kapot maken; en teams zijn vaak ondergefinancierd en staan onder druk.
"De problemen met patchbeheer zullen nog groter worden", zegt Childs.
Een andere trend om in de gaten te houden is de toegenomen aandacht voor specifieke producten en diensten nadat een bug is vrijgegeven, merkt Breen op. Zodra er een grote bug verschijnt, en vooral als deze wordt aangevallen, zullen de volgende maanden extra fouten met zich meebrengen die in dezelfde producten worden gepatcht. "Het trekt wel de aandacht", zegt hij. Onderzoekers geloven dat als er één probleem is, er waarschijnlijk meer zullen zijn. Dit gebeurde in de maanden na de kwetsbaarheden van Exchange Server en PrintNightmare.
Hoewel het aantal uitgebrachte patches dit jaar is gedaald, zegt Gupta van Microsoft dat er meer werk aan de winkel is in 2022. Het risico van de toeleveringsketen blijft bestaan, zegt ze, en we zullen steeds meer bugs zien die organisaties moeten aanpakken. De samenwerking met partners in de beveiligingsgemeenschap was nuttig, vooral dankzij het bugbounty-programma van Microsoft, dat volgens Gupta bijna $ 13 miljoen tot $ 14 miljoen aan bugbounties heeft betaald aan meer dan 300 onderzoekers.
Intern is iets dat waardevol is gebleken, na incidenten even stil te staan om te kijken hoe het beter kan. Gupta voegt toe: "We zijn altijd op zoek naar manieren om te voorkomen dat dit probleem zich ooit nog eens voordoet."
