CISA vahvistaa BlueHammerin olevan nyt kiristysohjelma-ase

Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) vahvisti maanantaina, että kiristysohjelmaryhmät ovat siirtyneet kohdennetuista nollapäivähyökkäyksistä ja hyödyntävät nyt laajasti BlueHammeria, korkean vakavuusasteen käyttöoikeuksien korottamisen haavoittuvuutta Microsoft Defenderissa. Siirtymä kohdistetusta hyödyntämisestä laajaan käyttöön on kriittinen signaali kaikille Windows-järjestelmiä käyttäville organisaatioille, ja se lisää merkittävästi kiirettä päivitysten ja kerroksellisen suojauksen suhteen.

BlueHammer oli jo herättänyt huomiota tietoturvapiireissä sen jälkeen, kun sitä oli käytetty aiemmissa nollapäivähyökkäyksissä. Vahvistus siitä, että kiristysohjelmatoimijat liittävät sen nyt työkalupakkeihinsa, merkitsee uutta vaihetta. Kun haavoittuvuus siirtyy kohdennetusta vakoilusta tai yksittäisistä hyökkäyksistä kiristysohjelmaryhmien infrastruktuuriin, altistuminen kasvaa dramaattisesti ja aikaikkuna suojautumiseen kapenee nopeasti.

Mitä käyttöoikeuksien korottaminen tarkoittaa kiristysohjelmahyökkäyksessä

Käyttöoikeuksien korottamisen haavoittuvuudet ovat erityisen arvokkaita kiristysohjelmien levittäjille niiden sijainnin vuoksi hyökkäysketjussa. Alkupääsy verkkoon on vasta ensimmäinen vaihe. Jotta kiristysohjelma voidaan levittää tehokkaasti koko organisaatioon, hyökkääjät tarvitsevat yleensä korotetut oikeudet, jotka mahdollistavat liikkumisen sivusuunnassa, tietoturvatyökalujen poistamisen käytöstä, varmuuskopiojärjestelmien käytön ja lopulta tietojen laajamittaisen salaamisen tai varastamisen.

Haavoittuvuus Microsoft Defenderissa on erityisen merkittävä, koska Defender on syvälle integroitu Windows-käyttöjärjestelmään ja toimii korotetuilla luottamustasoilla. Jos hyökkääjä pystyy hyödyntämään tätä luottamussuhdetta, hän voi laajentaa rajoitetun jalansijan laajaksi järjestelmän hallinnaksi ilman, että laukaistaan sellaisia hälytyksiä, joita erillinen haittaohjelma aiheuttaisi.

Tämä dynamiikka ei ole ainutlaatuista BlueHammerille. Kiristysohjelmaryhmät ketjuttavat rutiininomaisesti useita haavoittuvuuksia, käyttäen yhtä sisäänpääsyyn ja toista oikeuksien korottamiseen ja levittämiseen. 40 000 palvelinta vaarantui aktiivisesti hyödynnettävän cPanel-haavoittuvuuden kautta havainnollistaa, kuinka nopeasti uhkatoimijat kääntyvät löydöstä massahyödyntämiseen, kun haavoittuvuus tarjoaa todellista vipuvoimaa.

Miksi kiristysohjelmaryhmät kohdistavat erityisesti Windows Defenderiin

Microsoft Defenderin lähes jokakäyttöinen läsnäolo Windows-koneissa tekee siitä houkuttelevan kohteen vastustajille. Organisaatiot, jotka luottavat Defenderiin ensisijaisena tai ainoana päätepisteen suojakerroksena, ovat erityisen haavoittuvaisia, kun Defenderin haavoittuvuus aseistetaan, koska juuri se työkalu, jonka pitäisi suojata heitä, muuttuu hyökkäysvektoriksi.

Tämä ei ole argumentti Defenderin käyttöä vastaan. Se on argumentti syvällisen puolustuksen puolesta: periaate, jonka mukaan mikään yksittäinen tietoturvatyökalu ei saisi olla ainoa asia hyökkääjän ja kriittisten järjestelmiesi välillä. Kun kiristysohjelmaryhmät hyödyntävät erityisesti tietoturvaohjelmistosi haavoittuvuutta, ylimääräisten, riippumattomien suojakerrosten olemassaolo on tärkeämpää kuin koskaan.

Verkkotason hallinnat ovat yksi tällainen kerros. Sisäverkkojen segmentointi, tiukkojen pääsynvalvontojen toteuttaminen ja epätavallisen sivuttaisliikkeen seuranta voivat kaikki hidastaa tai estää kiristysohjelman leviämistä jopa alkuperäisen päätepistemurron jälkeen. VPN:t, kun ne on määritetty oikein yritysverkoissa, voivat rajoittaa hyökkääjien tunkeutumisen alkuvaiheessa suorittamaa tiedustelua hallitsemalla, mitkä verkkopolut ovat näkyvillä. FBI:n tuore varoitus siitä, että Silent Ransom Group on fyysisesti esiintynyt IT-henkilöstönä asianajotoimistoissa on muistutus siitä, että hyökkääjät tutkivat myös verkon arkkitehtuuria ja pääsynvalvontaa osana hyökkäystä edeltävää pohjatyötä.

Mitä tämä tarkoittaa sinulle

Yksittäisille Windows-käyttäjille välittömin toimenpide on varmistaa, että Windows Update on ajan tasalla ja että Microsoft Defenderin määritykset ja alustakomponentit on täysin päivitetty. Microsoft julkaisee yleensä tämän vakavuusasteen haavoittuvuuksille päivitykset nopeasti, ja niiden viipymätön asentaminen on tehokkain yksittäinen toimi, jonka voit tehdä.

IT-järjestelmänvalvojille ja tietoturvaryhmille CISA:n vahvistus on kehotus tarkistaa, onko BlueHammer-päivitykset asennettu kaikkiin päätepisteisiin, mukaan lukien etä- ja hybridityöntekijät. Organisaatioiden tulisi myös tarkastella käyttöoikeuksien korottamisen havainnointikyvykkyyksiään, koska päivitykset käsittelevät haavoittuvuutta, mutta valvonta kohdistuu laajempaan uhkakuvioon.

On myös syytä huomata, ettei CISA lisää haavoittuvuuksia tunnettujen hyväksikäytettyjen haavoittuvuuksien luetteloonsa kevyin perustein. Pääsy sinne sisältää sitovan operatiivisen direktiivin Yhdysvaltain liittovaltion virastoille ja toimii vahvana signaalina yksityiselle sektorille siitä, että hyväksikäyttö on aktiivista ja jatkuvaa, ei teoreettista. Viraston historia jo todellista vahinkoa aiheuttavien haavoittuvuuksien liputtajana on tehnyt siitä luotettavan varhaisvaroitusjärjestelmän. Tämä uskottavuus on tehnyt siitä myös kohteen: aiemmin tänä vuonna CISA:n alihankkijaan liittyvä GitHub-tietovuoto korosti, kuinka jopa tietoturvaan keskittyvät organisaatiot kohtaavat infrastruktuuririskejä.

Käytännön toimenpiteet

  • Asenna päivitykset heti. Asenna kaikki saatavilla olevat Microsoftin tietoturvapäivitykset ja kiinnitä erityistä huomiota Microsoft Defenderin komponentteja koskeviin päivityksiin.
  • Auditoi päätepisteesi. Varmista, että päivitysten käyttöönotto on tavoittanut etätyöntekijät, sivutoimipisteet ja kaikki laitteet, jotka ovat saattaneet jäädä automaattisten päivitysajelujen ulkopuolelle.
  • Kerrosta puolustuksesi. Älä luota mihinkään yksittäiseen tietoturvatyökaluun ainoana suojastrategianasi. Yhdistä päätepisteen suojaus verkon valvontaan, pääsynvalvontaan ja käyttäytymisen havaitsemiseen.
  • Tarkkaile käyttöoikeuksien korottamista. Tarkista lokeista epätavalliset prosessien korotustapahtumat, erityisesti ne, jotka koskevat tietoturvaohjelmistojen prosesseja.
  • Tarkista verkon segmentointi. Jos kiristysohjelma saa jalansijaa, vahva verkon segmentointi voi rajoittaa sen leviämistä ennen havaitsemista ja eristämistä.

BlueHammerin siirtyminen nollapäivätyökalusta kiristysohjelmaryhmien perusaseeksi on malli, jonka tietoturvayhteisö on nähnyt ennenkin, ja se tapahtuu uudelleen tulevien haavoittuvuuksien kohdalla. Tämän ennustettavan kehityksen huomioon ottavien tietoturvakäytäntöjen rakentaminen on kestävämpää kuin yksittäisiin haavoittuvuuksiin reagointi.