IT-säkerhet Teknik

Sårbarheter i Exchange utnyttjas av cyberkriminella - så skyddar du din IT-miljö

Det har gått ett tag sedan nyheterna om SolarWinds-hacket publicerades och skadan av hacket avslöjades. Ungefär 18 000 organisationer runt om i världen attackerades i det som verkar vara ett av de största organiserade angreppen på många år.

Nu härjar det ett nytt hack med namnet Exchange Marauder. I det här fallet angrips Microsoft Exchange-servrar runt om i världen.Tiotusentals organisationer runtom i världen har enligt uppgift påverkats av denna attack.Fyra nolldagarssårbarheter i Microsofts Exchange-servrar och Outlook Web Access utnyttjats för att ta sig in i tiotusentals e-postservrar.

Enligt Wired verkar de drabbade nätverken ha hackats via automatisk skanning. Hackarna planterade ett ”web shell", en fjärråtkomlig, webbaserad bakdörr, på Exchange-servrarna de utnyttjade, så att de kunde utföra rekognosering på målmaskinerna och eventuellt flytta till andra datorer i nätverket.

Minska attackytan av en sådan attack

Skulle organisationer kunnat skydda sina Exchange-servar från denna attack?

Tyvärr är svaret komplext eftersom vi måste titta på två attackvektorer i det här fallet:

  • Vektor 1 - Hacket på själva Exchange-servern
  • Vektor 2 - Flytten från Exchange-servern till andra datorer och servrar i nätverket

När det gäller den första vektorn använde hackarna nolldagarssårbarheter som hittades på Exchange-servern, så det var omöjligt att förhindra attacken när den inträffade. Lyckligtvis har Microsoft sedan dess släppt patchar mot dessa sårbarheter, så nu är du säker ... tills nästa nolldagarsattack. Det är alltid viktigt att ha en väl fungerande patchhantering och gärna ett system för sårbarhetsanalys men i detta fall var inte sårbarheten känd.

Det andra tillvägagångssättet är att leta efter en lösning på arkitekturnivå, vilket innebär att hantera och skydda tillgången till resurser i ett centraliserat nätverksbaserat perspektiv, både externa och interna hot.

Detta innebär att du analyserar på den ursprungliga attackvektorn. Förutom att patcha din Exchange-server kan du också överväga att dölja den från omvärlden genom att kontrollera åtkomst till den med hjälp av en lösning för zero-trust network access (ZTNA) eller en VPN i kombination med en ZTNA-lösning.

När det gäller den andra vektorn är förhindrandet av att data flyttas mycket komplext. Du behöver en kombination av mikrosegmentering samt att kontrollera åtkomst mellan olika datorer och servrar i nätverket. En enkel lösning kan vara att lägga till en central MFA-lösning som "ser" varje användare, system, server och applikation i nätverket. Detta gör att när angriparen försöker komma åt en server från den infekterade maskinen skulle deras web shell kommando ha anropat en MFA begäran som, tills det godkänts, skulle ha hindrat kommandot från att köras.

Så skapar du ett proaktivt skydd

Som vi såg ovan fanns det två separata attackvektorer till Exchange attacken som kräver två olika attackförebyggande lösningar.

Vår lösning som bemöter båda attackvektorerna heter ZoneZero. ZoneZero är en Perimeter Access Orchestration-plattform som tillhandahåller central hantering av alla säkra åtkomstmetoder och hjälper organisationer att uppnå ZTNA (zero-trust network access) för alla scenarier för applikationsåtkomst, både inifrån och utifrån nätverket.

För att bekämpa den första attackvektorn kan du distribuera ZoneZero i ditt perimeterskydd för att "dölja" din Exchange-server från nyfikna ögon. I den här uppsättningen kan ZoneZero antingen arbeta på egen hand genom att kontrollera åtkomst till din Exchange-server eller så kan den distribueras med din VPN, vilket skyddar både din VPN med ZTNA-funktioner samt åtkomsten till din Exchange-server.

För att bekämpa den andra attackvektorn kan du distribuera ZoneZero i ditt nätverk. Detta gör att du kan lägga till centraliserad MFA till alla företagsresurser (system, server, data, applikationer etc.).

Safe-T:s ZoneZero centraliserade MFA-metod tillåter kunder att enkelt integrera multifaktorautentisering (SMS, push-meddelanden, biometri, telegram, WhatsApp, REST API) och identitetsmedvetenhet i alla åtkomstscenarier: användare på distans och internt, VPN, webb och icke-webbapplikationer.

Har du några funderingar är du välkommen att kontakta mig.

Webinar: How to enable MFA to all your applications and services.

 

Andrew Thomson

Andy is a tech enthusiast and has worked in the IT space for 20 years. He has a primary interest in security and enjoys helping people solve problems.

andrew.thomson@inuit.se

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera. Vi levererar nyheterna direkt i din inkorg!