Киберпрестъпниците сканираха за уязвими сървъри на Microsoft Exchange в рамките на пет минути след публикуването на новините

Киберпрестъпниците започнаха да търсят в мрежата за уязвими сървъри за Exchange в рамките на пет минути, след като съветът за сигурност на Microsoft стана публичен, казват изследователите.

Според преглед на данните за заплахи от корпоративни компании, събрани между януари и март тази година, съставени в Palo Alto Networks ‘2021 Cortex Xpanse Доклад за заплахата на Attack Surface и публикуван в сряда, актьорите на заплахата бяха бързо изключени, за да сканират за сървъри, узрели за експлоатация.

Когато критичните уязвимости в широко възприетия софтуер станат публично достояние, това може да предизвика надпревара между нападателите и ИТ администраторите: една да намери подходящи цели – особено когато е наличен код за доказателство за концепция (PoC) или грешка е тривиална за експлоатация – – и ИТ персонал за извършване на оценки на риска и прилагане на необходимите корекции.

В доклада се казва, че по-специално уязвимостите с нулев ден могат да предизвикат сканиране на атакуващи в рамките на 15 минути след публичното оповестяване.

Изследователите от Palo Alto казват, че нападателите са “работили по-бързо”, когато става въпрос за Microsoft Exchange, и сканирането е било открито в рамките на не повече от пет минути.

На 2 март Microsoft разкри съществуването на четири уязвимости с нулев ден в Exchange Server. Четирите проблема със сигурността, които влияят колективно върху Exchange Server 2013, 2016 и 2019, бяха използвани от китайската група за напреднали постоянни заплахи (APT) Hafnium – и други APT, включително LuckyMouse, Tick и Winnti Group, бързо последва примера.

Разкриването на сигурността предизвика вълна от атаки и три седмици по-късно те все още продължават. По това време изследователите на F-Secure заявиха, че уязвимите сървъри „се хакват по-бързо, отколкото можем да разчитаме“.

Прочетете на: Всичко, което трябва да знаете за хакването на Microsoft Exchange Server

Възможно е общата достъпност на евтини облачни услуги да е помогнала не само на APT, но и на по-малки групи киберпрестъпници и лица да се възползват от новите уязвимости, когато се появят на повърхността.

“Компютърните услуги станаха толкова евтини, че потенциалният нападател трябва да похарчи само около 10 долара, за да наеме изчислителна мощност в облака, за да направи неточно сканиране на целия интернет за уязвими системи”, се казва в доклада. “От нарастването на успешните атаки знаем, че противниците редовно печелят състезания, за да поправят нови уязвимости.”

Изследването също така изтъква протокола за отдалечен работен плот (RDP) като най-честата причина за слабости в сигурността сред корпоративните мрежи, представляващи 32% от общите проблеми със сигурността, особено проблематична област, тъй като много компании направиха бърза промяна към облака през последната година, за да да позволят на служителите си да работят отдалечено.

„Това е обезпокоително, защото RDP може да осигури директен администраторски достъп до сървъри, което го прави един от най-често срещаните шлюзове за атаки на рансъмуер“, се отбелязва в доклада. “Те представляват плод, който виси за атакуващите, но има причина за оптимизъм: повечето от уязвимостите, които открихме, могат лесно да бъдат поправени.”


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com