79 % der beobachteten Microsoft Exchange Server-Sicherheitslücken traten in der Cloud auf

Cyber Security News

Ein Werbeschild von Microsoft ist in New York City zu sehen. (Foto von Jeenah Moon/Getty Images)

Forscher berichteten diese Woche, dass bei der Untersuchung von verwundbaren Microsoft Exchange-Servern etwa 79 % der beobachteten Expositionen in der Cloud stattfanden.

In einem Blog-Post des Cortex Expanse-Forschungsteams von Palo Alto Networks heißt es außerdem, dass die meisten Scans der Angreifer, die sie zwischen Januar und März beobachtet haben, 15 bis 60 Minuten nach der Offenlegung über die CVE-Liste (Common Vulnerabilities and Exposures) begannen. Aber die Forscher sagten, dass am 2. März Bedrohungsakteure innerhalb von nur fünf Minuten nach der Offenlegung mehrerer Zero-Days durch Microsoft mit dem Scannen nach verwundbaren Exchange Server-Systemen begannen.

“Die Cloud ist von Natur aus mit dem Internet verbunden, und es ist überraschend einfach für neue öffentlich zugängliche Cloud-Implementierungen, außerhalb der normalen IT-Prozesse zu starten, was bedeutet, dass sie oft unzureichende Standard-Sicherheitseinstellungen verwenden und sogar vergessen werden können”, so die Forscher.

Die große Anzahl betroffener Exchange Server, die in der Cloud bereitgestellt werden, hat Jeff Barker, Vice President of Product Management bei Illusive, nicht überrascht. Barker sagte, dass die forensische Analyse des Exchange-Angriffs von Hafnium zeigte, dass der Angreifer Procdump verwendete, um den Speicher des Local Security Authority Subsystem Service (LSASS) zu entleeren und dann Mimikatz zu verwenden, um Anmeldeinformationen zu erhalten.

“Dies bietet genügend Beweise dafür, dass die Taktik nach der Ausbeutung eine laterale Bewegung zu anderen Teilen der Umgebung beinhaltet”, sagte Barker. “Folglich müssen sich Unternehmen Gedanken über das laufende Risiko sowohl für Cloud- als auch On-Premise-Umgebungen machen.”

Tyler Shields, Chief Marketing Officer bei JupiterOne, sagte, dass traditionelle CMDB-Technologien (Configuration Management Database) den Sprung in die Cloud nicht geschafft haben und Änderungen in diesen Infrastrukturinstanzen nicht richtig erfassen und kontinuierlich erkennen können. Außerdem hat die Geschwindigkeit, mit der Unternehmen in die Cloud gewechselt sind, das Wachstum von Cloud-nativen Assets explodieren lassen.

“Wenn Sie Ihre Cyber-Asset-Infrastruktur nicht gut im Griff haben und nicht wissen, wie diese Infrastrukturkomponenten miteinander zusammenhängen, wird es unmöglich sein, diese Umgebung zu sichern”, so Shields. “Dies wird durch die Forschungen von Expanse belegt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com