CISA megerősítette: a BlueHammer ma már zsarolóvírus-fegyver
A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) hétfőn megerősítette, hogy a zsarolóvírus-csoportok túlléptek a célzott nulladik napi támadásokon, és most már széles körben kihasználják a BlueHammert, egy magas súlyosságú, jogosultságkiterjesztési sebezhetőséget a Microsoft Defenderben. A célzott kihasználásról széles körűre váltás kritikus jelzés minden Windows-rendszert futtató szervezet számára, és jelentősen megnöveli a javítások és a többrétegű védelem iránti sürgősséget.
A BlueHammer már korábban is felkeltette a biztonsági körök figyelmét, miután korábbi nulladik napi támadások során kihasználták. Az a megerősítés, hogy a zsarolóvírus-üzemeltetők most már saját eszköztárukba is beépítik, új szakaszt jelez. Amint egy sebezhetőség a célzott kémkedésből vagy egyedi támadásokból a zsarolóvírus-bandák infrastruktúrájába emelkedik, a kitettség drámaian megnő, és a szervezeteknek egyre kevesebb idejük marad a védekezésre.
Mit jelent a jogosultságkiterjesztés egy zsarolóvírus-támadásban
A jogosultságkiterjesztési sebezhetőségek különösen értékesek a zsarolóvírus-üzemeltetők számára, mert hol helyezkednek el a támadási láncban. A hálózathoz való kezdeti hozzáférés megszerzése csak az első lépés. Ahhoz, hogy a zsarolóvírust hatékonyan terjesszék egy szervezeten belül, a támadóknak általában emelt szintű jogosultságokra van szükségük, amelyek lehetővé teszik az oldalirányú mozgást, a biztonsági eszközök letiltását, a biztonsági mentési rendszerek elérését, végül pedig az adatok nagy léptékű titkosítását vagy kiszivárogtatását.
A Microsoft Defender hibája különösen jelentős, mivel a Defender mélyen beágyazódik a Windows operációs rendszerbe, és magas bizalmi szinten fut. Ha egy támadó képes kihasználni ezt a bizalmi viszonyt, akkor korlátozott behatolásból szélesebb rendszerirányításra tehet szert anélkül, hogy olyan riasztásokat váltana ki, amelyeket egy önálló kártevő generálna.
Ez a dinamika nem egyedi a BlueHammerre. A zsarolóvírus-csoportok rutinszerűen fűznek össze több sebezhetőséget, egyiket a bejutáshoz, a másikat a jogosultságkiterjesztéshez és terjedéshez használva. Az az eset, amikor 40 000 szerver kompromittálódott egy aktív cPanel sebezhetőség révén, jól mutatja, milyen gyorsan váltanak a fenyegető szereplők felfedezésről tömeges kihasználásra, amikor egy hiba érdemi előnyt kínál.
Miért célozzák a zsarolóvírus-bandák kifejezetten a Windows Defendert
A Microsoft Defender szinte univerzális jelenléte a Windowsos gépeken vonzó célponttá teszi a támadók számára. Azok a szervezetek, amelyek kizárólagos vagy elsődleges végpontvédelmi rétegként támaszkodnak a Defenderre, különösen kitettek, amikor egy Defender-sebezhetőséget fegyverként kezdenek használni, hiszen éppen az az eszköz válik a támadás vektorává, amelynek védenie kellene őket.
Ez nem érv a Defender használata ellen. Hanem érv a mélységi védelem mellett: az az elv, hogy egyetlen biztonsági eszköz sem lehet az egyetlen akadály a támadó és a kritikus rendszerek között. Amikor a zsarolóvírus-bandák kifejezetten a biztonsági szoftver sebezhetőségét használják ki, a további, független védelmi rétegek fontosabbak, mint valaha.
A hálózati szintű vezérlők egy ilyen réteget jelentenek. A belső hálózatok szegmentálása, a szigorú hozzáférés-vezérlés és a szokatlan oldalirányú mozgás figyelése mind lassíthatja vagy megállíthatja a zsarolóvírus terjedését egy kezdeti végpontkompromittálódás után is. A VPN-ek, megfelelő vállalati hálózati beállításokkal, korlátozhatják a támadók felderítési tevékenységét a behatolás korai szakaszában azáltal, hogy szabályozzák, mely hálózati útvonalak vannak kitéve. Az FBI legutóbbi figyelmeztetése a Silent Ransom Groupról, amely fizikailag kiadja magát informatikai személyzetnek ügyvédi irodákban emlékeztet arra, hogy a támadók a támadás előkészítése során a hálózati architektúrát és a hozzáférés-vezérlést is vizsgálják.
Mit jelent ez Önnek
Az egyéni Windows-felhasználók számára a legközvetlenebb lépés annak biztosítása, hogy a Windows Update naprakész legyen, és a Microsoft Defender definíciói és platformösszetevői teljesen frissek legyenek. A Microsoft általában gyorsan kiadja a javításokat az ilyen súlyosságú sebezhetőségekhez, és ezek azonnali alkalmazása a leghatékonyabb intézkedés, amit megtehet.
Az informatikai rendszergazdák és biztonsági csapatok számára a CISA megerősítése felhívás annak áttekintésére, hogy a BlueHammer javításokat alkalmazták-e minden végponton, beleértve a távoli és hibrid munkavállalókat is. A szervezeteknek érdemes felülvizsgálniuk a jogosultságkiterjesztési viselkedések észlelési képességeit is, hiszen a javítás a sebezhetőséget orvosolja, a monitorozás viszont a szélesebb támadási mintázatot kezeli.
Azt is érdemes megjegyezni, hogy a CISA nem véletlenül vesz fel hibákat az Ismerten Kihasznált Sebezhetőségek katalógusába. Egy bejegyzés ott kötelező érvényű műveleti irányelvet jelent az amerikai szövetségi ügynökségek számára, és erős jelzés a magánszektor felé, hogy a kihasználás aktív és folyamatban van, nem elméleti. Az ügynökség múltbeli eredményei, amikor már valós károkat okozó sebezhetőségeket jelzett, megbízható korai figyelmeztető rendszerré tették. Ez a hitelesség azonban célponttá is teszi: egy CISA-alvállalkozóhoz köthető GitHub-szivárgás idén korábban arra világított rá, hogy még a biztonságra fókuszáló szervezetek is szembesülnek infrastrukturális kockázatokkal.
Gyakorlati teendők
- Javítson most. Alkalmazza az összes elérhető Microsoft biztonsági frissítést, különös tekintettel a Microsoft Defender összetevőket érintő javításokra.
- Végezzen végpontauditot. Ellenőrizze, hogy a javítások eljutottak-e a távoli munkavállalókhoz, a fiókirodákhoz és minden olyan eszközhöz, amely esetleg kimaradt az automatikus frissítési ciklusokból.
- Rétegezze a védelmet. Ne hagyatkozzon egyetlen biztonsági eszközre, mint teljes körű védelmi stratégiára. Kombinálja a végpontbiztonságot hálózatfigyeléssel, hozzáférés-vezérléssel és viselkedésalapú észleléssel.
- Figyelje a jogosultságkiterjesztést. Vizsgálja át a naplókat szokatlan folyamat-emelési események után, különösen azokat, amelyek biztonsági szoftverfolyamatokat érintenek.
- Vizsgálja felül a hálózati szegmentációt. Ha a zsarolóvírus megveti a lábát, az erős hálózati szegmentáció korlátozhatja, milyen messzire terjedhet, mielőtt észlelik és megfékezik.
A BlueHammer átalakulása nulladik napi eszközből a zsarolóvírus-bandák alapfegyverévé egy olyan minta, amit a biztonsági közösség már korábban is látott, és a jövőbeli sebezhetőségeknél is meg fog ismétlődni. Az ehhez a kiszámítható fejlődési pályához igazodó biztonsági gyakorlatok kiépítése tartósabb, mint az egyes hibákra való reagálás.




