Een kwetsbaarheid voor het escaleren van privileges die in februari door Microsoft is gepatcht, blijft van invloed zijn op Exchange-servers, waarbij meer dan 80% van de met internet verbonden servers kwetsbaar blijft, meldt een firma.
Bijna vier maanden nadat Microsoft een ernstige kwetsbaarheid in Microsoft Exchange-servers had verholpen, blijven meer dan 350,000 met internet verbonden servers kwetsbaar voor de escalatiefout op het gebied van privileges, volgens een rapport dat woensdag is gepubliceerd.
Hoewel Microsoft het probleem (CVE-2020-0688) in februari heeft opgelost, blijft meer dan 80% van de met internet verbonden Microsoft Exchange-servers kwetsbaar, waardoor aanvallers slechts één geldige referentie moeten vinden of phishing om het e-mailsysteem van een bedrijf volledig in gevaar te brengen, bescherming bedrijf Rapid7 vermeld in zijn "2020: Q1 Threat Report." Volgens de scangegevens van het bedrijf zijn in de vier weken tussen eind maart en eind april slechts 7,000 systemen - ongeveer 2% van het totaal - gepatcht, wat aangeeft dat bedrijven geen prioriteit geven aan het probleem.
Hoewel Microsoft het beveiligingslek alleen als 'belangrijk' heeft beoordeeld, betekent de focus van aanvallers op het verzamelen van inloggegevens dat de drempel om het beveiligingslek te misbruiken eigenlijk vrij laag is, zegt Wade Woolwine, hoofdbeveiligingsonderzoeker bij Rapid7.
'Deze kwetsbaarheid geeft aanvallers iets te maken met al die inloggegevens die ze van uw werknemers hebben gepusht', zegt hij. "Het is erg belangrijk voor bedrijven om dit soort kwetsbaarheden te patchen, zelfs als ze een gedefinieerde patchcyclus van 30 dagen hebben."
E-mail- en berichtenservers zijn een populair doelwit van geavanceerde hackers en door de staat gesponsorde spionage-actoren. De Russische militaire inlichtingendienst heeft dat bijvoorbeeld gericht op kwetsbare EXIM mailservers, ze misbruiken om toegang te krijgen tot de inhoud van de e-mailberichten van de organisatie. Twee jaar nadat Microsoft de beveiligingslekken in de e-mailclient van Outlook had verholpen, bleven Iraanse hackers het proberen om de kwetsbaarheid te misbruiken, vaak met enig succes, waarschuwde het Amerikaanse Cyber Command vorig jaar.
Het nieuwste Microsoft Exchange-beveiligingslek wordt veroorzaakt doordat de software tijdens de installatie geen unieke coderingssleutels genereert, volgens het Zero-Day Initiative van Trend Micro, die door Microsoft is gecrediteerd voor het melden van het beveiligingslek.
Rapid7, dat regelmatig het internet scant om gegevens over kwetsbare software te verzamelen, zei dat het beveiligingslek als kritiek moet worden beschouwd, en voegt eraan toe dat het ons 'angst aanjaagt'.
"De gevoelige gegevens die via e-mail worden uitgewisseld, en het gemak waarmee een aanvaller zich een weg baant naar geldige inloggegevens, in combinatie met de grenzeloze impact van het bezit van toegang tot uitvoerende mailboxen, maakt dit een cruciale prioriteit waard, al het andere laten vallen" -nu patch, " zei het bedrijf in zijn rapport.
Het rapport onderstreepte dat gecompromitteerde referenties nog steeds een aanzienlijke bedreiging vormen voor bedrijven: 74% van de incidenten werd gemeld door de beheerde detectie en respons (MDR) van het bedrijf aan klanten met gecompromitteerde referenties. Het gebruik van inloggegevens voor webtoegankelijke applicaties, cloudservices en API-servers blijft een van de belangrijkste bedreigingen voor datalekken, tweede op de lijst met veelvoorkomende aanvalsmethoden, alleen achter phishing, volgens Verizon's "2020 Data Breach Investigations Report."
"Aanvallers houden van inloggegevens omdat ze heel gemakkelijk te verkrijgen zijn", zegt Woolwine van Rapid7. 'Het gaat altijd - in ieder geval meestal - om inloggegevens. Nu alles naar de cloud verhuist, zijn die referenties net zoveel waardevoller. ”
Toch vond Rapid7 ook andere bedreigingen, waaronder aanvallen op de technologie die door externe werknemers wordt gebruikt om verbinding te maken met het netwerk van hun bedrijf. Apparaten voor virtuele particuliere netwerken - waaronder die van Cisco, Citrix, Fortinet en Pulse Secure - hadden allemaal kwetsbaarheden die het doelwit waren van scans op het hele internet, wat suggereert dat aanvallers waarschijnlijk de apparaten willen compromitteren die ze als strandhoofd moeten gebruiken voor gerichte bedrijven.
Ten minste één kwetsbaarheid heeft al tot inbreuken bij bedrijven geleid. Van de 17 door Rapid7 onderzochte inbreuken in het eerste kwartaal waren er negen het gevolg van een kritieke kwetsbaarheid in Citrix NetScaler.
Over het algemeen zag het bedrijf echter geen enorme toename van compromissen, aangezien bedrijven zich eind maart moesten aanpassen aan thuisblijvende bestellingen, terwijl de impact van de coronaviruspandemie zich verspreidde. De 17 door het bedrijf onderzochte inbreuken tijdens het kwartaal waren ongeveer hetzelfde als in de voorgaande kwartalen, zegt Woolwine.
'We hadden echt pandemonium verwacht', zegt hij. 'Als je kijkt naar de perfecte storm van angst en frustratie en politieke kwesties, lijkt de pandemie het soort chaos te veroorzaken waar aanvallers van gedijen. Maar we hebben lang niet zoveel compromissen gezien als we hadden verwacht. '
Gerelateerde inhoud:
Veteraan-technologiejournalist van meer dan 20 jaar. Voormalig onderzoeksingenieur. Geschreven voor meer dan twee dozijn publicaties, waaronder CNET News.com, Dark Reading, MIT's Technology Review, Popular Science en Wired News. Vijf prijzen voor journalistiek, waaronder Beste Deadline ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
