Numărul de utilizatori atacați de exploit-uri care vizează vulnerabilități în serverele Microsoft Exchange, blocate de produsele Kaspersky, a crescut cu 170% în august, de la 7.342 la 19.839. Potrivit experților Kaspersky, această creștere uimitoare este legată de numărul tot mai mare de atacuri care încearcă să exploateze vulnerabilitățile dezvăluite anterior în acest produs și de faptul că utilizatorii nu folosesc imediat patch-uri pentru un software vulnerabil, extinzând astfel zona potențială de atac.
Vulnerabilitățile din cadrul Microsoft Exchange Server au cauzat mult haos anul acesta. Pe 2 martie 2021, publicul a aflat despre exploiturile „in-the-wild” ale vulnerabilităților de tip zero-day în cadrul Microsoft Exchange Server, care au fost apoi exploatate într-un val de atacuri asupra organizațiilor din întreaga lume. Ulterior, Microsoft a remediat și o serie de așa-numite vulnerabilități ProxyShell – CVE-2021-34473, CVE-2021-34523 și CVE-2021-31207. Împreună, aceste vulnerabilități reprezintă o amenințare critică și permit unui atacator cibernetic să ocolească autentificarea și să execute codul ca utilizator privilegiat. Chiar dacă patch-urile pentru aceste vulnerabilități au fost lansate cu puțin timp în urmă, infractorii cibernetici nu au ezitat să le exploateze, 74.274 de utilizatori Kaspersky s-au confruntat cu exploituri legate de vulnerabilitățile MS Exchange în ultimele șase luni.
Mai mult, așa cum a avertizat Cybersecurity and Infrastructure Security Agency (CISA) din SUA pe 21 august, vulnerabilitățile ProxyShell sunt acum exploatate în mod activ de criminali cibernetici, într-un val recent de atacuri. În comunicatul său, lansat pe 26 august, Microsoft a explicat că un server Exchange este vulnerabil dacă nu rulează o actualizare cumulativă (CU) cu cel puțin actualizarea de securitate din mai (SU).
Potrivit telemetriei Kaspersky, în ultima săptămână a verii, peste 1.700 de utilizatori au fost atacați zilnic, folosind exploiturile ProxyShell, ceea ce a dus la creșterea numărului de utilizatori atacați în august 2021 cu 170% față de iulie 2021. Acest lucru reflectă anvergura problemei create de aceste vulnerabilități, dacă sunt lăsate fără patch.
„Faptul că aceste vulnerabilități sunt exploatate în mod activ nu este o surpriză – destul de des, vulnerabilitățile de tip 1-day – cele care au fost deja dezvăluite și au patch-uri lansate de dezvoltatori – reprezintă o amenințare și mai mare, deoarece sunt cunoscute de o gamă mai largă de infractori cibernetici care își încearcă norocul de a pătrunde în orice rețea pe care își pot pune mâna. Această creștere activă a atacurilor demonstrează, încă o data, de ce este atât de esențial să reparăm vulnerabilitățile cât mai curând posibil pentru a preveni compromiterea rețelelor. Vă recomandăm cu tărie să urmați sfaturile recente ale Microsoft pentru a atenua orice riscuri mai complexe”, comentează Evgeny Lopatin, cercetător în securitate, Kaspersky.
Produsele Kaspersky protejează împotriva exploatărilor care abuzează vulnerabilitățile ProxyShell cu componentele Behavior Detection și Exploit Prevention și le detectează cu următoarele coduri:
• PDM:Exploit.Win32.Generic
• HEUR:Exploit.Win32.ProxyShell.
• HEUR:Exploit.*. CVE-2021-26855.
Pentru a vă proteja împotriva atacurilor care exploatează vulnerabilitatea menționată anterior, Kaspersky recomandă următoarele:
• Actualizați Exchange Server cât mai curând posibil
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și exfiltrarea datelor pe internet. Acordați o atenție specială traficului de ieșire pentru a detecta conexiunile cibercriminale. Faceți back-upuri în mod regulat. Asigurați-vă că le puteți accesa rapid în caz de urgență
• Utilizați soluții precum Kaspersky Endpoint Detection and Response și serviciul Kaspersky Managed Detection and Response, care ajută la identificarea și oprirea unui atac în primele etape, înainte ca atacatorii să-și atingă obiectivele.
• Utilizați o soluție sigură de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business, care asigură prevenirea exploiturilor, detectarea comportamentului periculos și un are motor de remediere care poate contracara acțiunile rău intenționate. KESB are, de asemenea, mecanisme de autoapărare care pot preveni eliminarea acestuia de către infractorii cibernetici
