2020’nin sonlarında SolarWinds tedarik zinciri saldırısı ve yaygın Log4j güvenlik açığı tarafından rezerve edilen bir yılda, güvenlik ekipleri sürekli olarak hokkabazlık yaptı ve devam eden bir tehdit dalgasına öncelik verdi. Ve bunların arasında, uğraşmak için aylık bir Salı Yama güncellemesi var.
Microsoft Güvenlik Müdahale Merkezi başkan yardımcısı Aanchal Gupta, Microsoft 2021’de 2020’ye göre daha az güvenlik açığı eklerken, şirketin 2021’de 883 hatayı düzelttiğini söyledi. Bunlardan bazıları yaygın bir sömürüyle sonuçlandı; bazıları daha fazla ilgiyi hak etti ve bir grup olarak birçoğu, güvenlik ekiplerinin önümüzdeki yıl dikkat etmesi gereken eğilimleri ve kalıpları yansıtıyor.
Mart 2021’de açıklanan ve yamalanan en unutulmaz güvenlik açıkları arasında, Microsoft Exchange Server’ın şirket içi sürümlerinde bulunanlar vardı. Güvenlik açıklarını bildirdiği sırada Microsoft, bunların yetkililerin devlet destekli olduğunu ve Çin dışında faaliyet gösterdiğini söylediği Hafnium adlı bir grup tarafından yürütülen “sınırlı ve hedefli” saldırılarda kullanıldığını söyledi.
Güvenlik topluluğunun, Exchange Sunucularını hedef alan bir kötü amaçlı etkinlik dalgasının arkasında büyük olasılıkla birden çok tehdit grubu olduğunu bildirmesi uzun sürmedi. “Düşük ve yavaş” olan faaliyet, on binlerce kuruluşla hızla büyük bir gürültüye dönüştü. etkilenen. Immersive Labs siber tehdit araştırması direktörü Kevin Breen, Exchange Server saldırıları hakkında “Bu gerçekten hızlı bir şekilde çığ gibi büyüdü” diyor. Güvenlik açıklarından yararlanan gelişmiş kalıcı tehdit gruplarının haftalar içinde, siber suç grupları da bunu benimsemeye başladı.
Yamaları yayınlamaya ek olarak, o sırada Microsoft üretilmiş
bazı eski ve desteklenmeyen toplu güncellemelere uygulanacak ek bir dizi güvenlik güncellemesi. Bu durumda gerekliydi, ancak Gupta, müşterileri yama yapmaktan caydırdığı için “bunu yapmayı tercih etmiyoruz” diye belirtiyor.
Gupta, “Hafnium gibi tehdit aktörleri, sofistikedirler” diyor. “Taramaları yapıyorlar; zamanında yama yapmayan herkesin peşinden gidecekler.”
Ancak birçok kuruluş için yama yapmak zordu. Bazıları Exchange Server’ın eski sürümlerini çalıştırıyordu ve düzeltme ekleyecek bir BT ekibi yoktu; bazıları yama yapmaya hazır değildi. Şirket, Gupta’nın işletmelerin kendilerini korumak için kullanabilecekleri beş adımı içeren bir komut dosyası olarak tanımladığı bir azaltma aracı yayınladı.
Güvenlik Ekipleri İçin Bir “Kabus”
Güvenlik ekipleri daha sonra, Windows’un tüm sürümlerini etkileyen, uzaktan kullanılabilir bir hata olan PrintNightmare’i öğrendi. İşletim sistemi ile yazıcı arasında bir arabirim görevi gören ve yazıcı sürücülerini yükleme ve yazdırma işlerini sipariş etme gibi görevleri yerine getiren Windows Yazdırma Biriktiricisi Hizmetinde bulunur. Bu kusur, kimliği doğrulanmış saldırganların, Active Directory yönetici sunucuları ve çekirdek etki alanı denetleyicilerini de içeren güvenlik açığı bulunan sistemlere sistem düzeyinde erişim elde etmelerine ve kod çalıştırmalarına, kötü amaçlı yazılım indirmelerine, yeni kullanıcı hesapları oluşturmalarına veya verileri görüntülemelerine, değiştirmelerine ve silmelerine olanak tanıyabilir. .
Ancak Trend Micro’nun Zero-Day Initiative iletişim başkanı Dustin Childs, PrintNightmare yamasının kendi sorunları olduğunu belirtiyor. “Sorun sadece ciddi ve geniş kapsamlı olması değildi – çünkü kesinlikle öyleydi – ama düzeltmelerin de sorunları vardı … düzeltmeden sonra düzeltme çıktı.”
Ve bazı düzeltmeler tüm sorunları çözmediği için sürekli bir endişe haline geldi. Güvenlik açığının ilk açıklanmasının ardından Microsoft, yeni bir CVE ve bunun için geçici çözümler yayınladı.
Childs, Exchange Server kusurlarının mı yoksa PrintNightmare’in mi daha ciddi olduğu konusunda ileri geri gider. Sonuçta, diyor, Exchange Server hatalarının gelecek yıllar boyunca sürebilecek daha geniş bir etkisi var.
Childs, “Bu etkinin tam olarak ne kadar geniş olduğunu hala bilmiyoruz ve büyük olasılıkla hala yama uygulanmamış çok sayıda Exchange Sunucusu var, çünkü Exchange’i yamalamak çok zor,” diye açıklıyor Childs. Bu, özellikle şirket içinde Exchange Server çalıştıran orta ölçekli işletmeler için geçerlidir: “Hala çalışıyor, dokunmayın” mantığı, çalışanların bozulabileceğinden veya yamayla ilgili bir sorun olabileceğinden korktuğu için vardır.
Spot Işığında Daha Fazla Vuln
Exchange Server ve PrintNightmare güvenlik açıkları en çok göze çarpsa da, güvenlik ekiplerinin bu yıl için endişelendiği tek hata bunlar değildi. Virsec CTO’su Satya Gupta, Microsoft Internet Information Services için HTTP Protokol Yığını’ndaki bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2021-31166’yı, CVSS 3.0 puanı 9,8 olan ve bozulabilir olarak kabul edilen göze çarpan bir kusur olarak işaret etti.
Bir diğeri, Hyper-V’de konuk sanal makinenin Hyper-V ana bilgisayarının çekirdeğini rastgele ve potansiyel olarak geçersiz bir adresten okumaya zorlamasını sağlayan bir RCE hatası olan CVE-2021-28476 idi. Virsec’ten Gupta, “Her Azure kutusu, içinde Hyper-V ile çalışır,” diye açıklıyor. “Hyper-V’de bir güvenlik açığı varsa, herkesin kutusunu sorun haline getirir. Herkesin kutusu savunmasız hale gelir.”
Bu kusurun problemini birleştirmek, kavram kanıtı kodunun mevcudiyetiydi, diye belirtiyor. Saldırganlar, bir yama uygulanmadan önce kavram kanıtına erişebildiğinden, bu durum “gerçekten çok kötü” bir duruma yol açar ve savunmasız kuruluşlar için daha büyük bir risk oluşturur.
Bazen bir güvenlik açığı, ilk ortaya çıktığında fazla dikkat çekmez, ancak daha sonra daha acil bir durum haline gelir. Immersive Labs’ Breen, Active Directory Etki Alanı Hizmetlerinde bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2021-42287’de durumun böyle olduğunu söylüyor. Bu, Kasım ayında düzeltildi ve Microsoft tarafından “sömürü olasılığı daha düşük” olarak sınıflandırıldı; daha geçen hafta, kavram kanıtlama kodu çevrimiçi olarak yayınlandı.
Açık Yönetim Altyapısındaki (OMI) dört güvenlik açığını, onları bulan Wiz araştırmacıları tarafından topluca OMIGOD olarak adlandırılan ve 2021’de dikkate değer hatalar olarak işaret ediyor. OMI, yaygın olarak kullanılan ancak pek çok Azure hizmetinde gömülü olan az bilinen bir yazılım aracısıdır ve Azure kullanan çoğu kuruluş etkilendi. Biri RCE’ydi; üçü ayrıcalık artışıydı.
Childs, yerel ayrıcalık artışını, genellikle gözden kaçan ancak güvenlik ekiplerinin daha yakından ilgilenmesini hak eden bir güvenlik açığı kategorisi olarak işaret ediyor. Bunların birçoğu çeşitli Windows bileşenlerinde ortaya çıktı, kötü amaçlı yazılımlara sarıldı ve ardından istismar edildi, diyor. Yerel ayrıcalık yükseltme tek başına çok heyecan verici olmasa da, bu kusurlar diğer güvenlik açıklarıyla birleştiğinde “birinin sistemini ele geçirmede kesinlikle etkili” hale gelebilir, diye ekliyor.
“Kullanılmakta olan hataları bulmaya ve düzeltmeye odaklandığımızdan emin olmamız gereken şeylerden biri ve LPE hataları kötü adamlar tarafından kullanılıyor, bu yüzden bunlarla ilgilendiğimizden emin olmalıyız, ” diyor. Bir saldırgan bir sistemi ele geçirmek isterse, kritik olmayan veya daha düşük CVSS puanına sahip hatalar bile tehdit oluşturabilir.
Breen ayrıca, ayrıcalık yükseltme güvenlik açıklarının geçen yıl gerçekleşen birçok saldırının “temel bir parçası” olduğuna dikkat çekerek bu eğilimin altını çiziyor. Çoğu saldırgan, kullanıcı erişimi elde etmek için sosyal mühendislik, kaba kuvvet uygulamalı RDP veya kimlik avı gibi yöntemleri tercih etmek yerine RCE kusuru kullanmaz.
“Bu şeyler gerçekten kritik çünkü her zaman sıfır günlük RCE’ye karşı koruma sağlayamazsınız, ancak kullanıcıları korumak ve ayrıcalık yükseltme saldırılarını azaltmak için yapabileceğiniz çok şey var” diye ekliyor.
Savunmacılar için Gelişen Bir Meydan Okuma
Düzeltme ekinde, aylar ve yıllar içinde güvenlik ekiplerine zorluk çıkarabilecek birkaç eğilim var. Childs, örnek olarak “yama boşluğu” dediği şeye işaret ediyor: A ürünü için bir yama mevcut olacak, ancak A ürününü tüketen diğer ürünler bu yamayı makul bir oranda ya da hiç yaymıyor diyor.
Örnek olarak Google Chrome’u işaret ediyor. Childs, “Chrome üzerinden geçmiş yıllarda gördüğümüzden çok daha fazla hata geldiğini görüyorum” diyor. Chrome, güvenli bir tarayıcı olarak ün yapmış olsa da, insanların Chromium’da çalışan ürünlerin sayısını gözden kaçırabileceğini belirtiyor. “Chrome’a dayalı her şeyin bu yamaları emmesi ve sonra da korunması ne kadar sürer?” o ekler. Bir Chrome güncelleme sürümü ile Edge Chromium’un bir güncellemeyi kullanıma sunması arasındaki gecikme, risk oluşturabilir.
Aynı sorun açık kaynak kitaplıklarda da var. Bir kitaplık bir güncelleme yayınlayabilir, ancak kitaplığı tüketen her şey, ne kadar yakından ilgilendiklerine bağlı olarak güncellenmeyebilir. Bu konunun etkisi, ürünlere bağlı olarak değişebileceğini söylüyor.
Childs, “‘yama boşluğu’ daha yaygın hale geldi ve insanlar nihayet yakından izlenmeyen paylaşılan kaynaklar olduğunu anlamaya başladı” diye ekliyor. Kuruluşlar, yama yapılması gereken her şeyi takip etmek zor olsa da, güncellemelerin tüketildiğinden emin olmak için içe aktardıkları kitaplıkları izlemelidir.
Bu da kurumsal güvenlikte başka bir soruna yol açar: Birçok BT ve güvenlik ekibi, kullandıkları yüksek hacim ve ürün yelpazesi nedeniyle kaç yamanın dağıtılması gerektiğini bilmiyor. Güncellenecek tüm ürün ve hizmetleri listeleyen merkezi bir konum yoktur; otomatik güncellemelerin işleri bozacağından korkarlar; ve ekipler genellikle yetersiz finanse edilir ve baskı altındadır.
Childs, “Yama yönetiminin sorunları daha da büyüyecek” diyor.
Breen, izlenmesi gereken diğer bir trendin de bir hata yayınlandıktan sonra belirli ürünlere ve hizmetlere gösterilen ilgideki artış olduğunu belirtiyor. Büyük bir hata ortaya çıktığında ve özellikle saldırı altındaysa, sonraki aylarda aynı ürünlerde ek kusurlar eklenecektir. “Odak çekiyor” diyor. Araştırmacılar, bir sorun varsa, muhtemelen daha fazla olacağına inanıyor. Bu, Exchange Server ve PrintNightmare güvenlik açıklarını takip eden aylarda oldu.
Microsoft’tan Gupta, bu yıl yayınlanan yamaların sayısı düşerken, 2022’de yapılacak daha çok iş olduğunu söylüyor. Tedarik zinciri riskinin kalıcı olduğunu ve kuruluşların ele alması gereken daha fazla hata görmeye devam edeceğiz. Güvenlik topluluğundaki ortaklarla çalışmak yardımcı oldu ve özellikle Microsoft’un hata ödül programı aracılığıyla, Gupta’nın söylediğine göre 300’den fazla araştırmacıya 13 milyon ila 14 milyon dolar arasında hata ödülü ödedi.
Dahili olarak, değerli olduğu kanıtlanmış bir şey, olayların nasıl iyileştirilebileceğini görmek için olaylardan sonra düşünmektir. Gupta şunları ekliyor: “Her zaman bu sorunun bir daha olmasını önlemenin yollarını arıyoruz.”