Zranitelnosti v MS Exchange jako důsledek systémové chyby v bezpečnosti

24. 3. 2021

Sdílet

 Autor: Depositphotos
Přes 500 poštovních serverů napadených přes zranitelnosti Microsoft Exchange jsou ukázkou špatného a často neexistujícího systematického přístupu k řešení bezpečnosti, který v Česku vidíme u naprosté většiny společností, častěji pak ve státním sektoru než v komerčním. Naopak relativně velmi dobře mají tuto oblast řešenou velké firmy typu banky, velké průmyslové podniky apod.

Nové závažné zranitelnosti se opakují a budou opakovat stále častěji. Souvisí to zejména s:

  • pokračující digitalizací,
  • narůstající kritičností ICT systémů pro fungování celé společnosti,
  • narůstající složitostí všech softwarů a celých iCT systémů a
  • nedostatečnými zdroji, ať už finančními či lidskými. 

Z bezpečnostního hlediska musí být každá společnost připravena na tzv. Emergency Patching, tedy proces okamžité reakce na podobný typ incidentu. V případě, že nemohou systém okamžitě záplatovat, musí jej odstavit, tedy odpojit od internetu. Plně si při tomto kroku samozřejmě budou uvědomovat dopady na chod společnosti a na business, protože mají vypracovanou analýzu rizik.

Ve všech příručkách a standardech řešení kybernetické bezpečnosti je systematické řízení zranitelností vždy popsáno jako jedno z nejdůležitějších pravidel hned v prvních kapitolách. Ti, kteří tuto kapitolu přeskočili, ale mají zásadní problém.

Jak se ukazuje, útočníci mají převahu a mnoho společností systém skenování a odstraňování zranitelností velmi podceňuje. Ze zkušenosti můžeme říci, že zranitelnosti se ve společnostech neskenují každý den, tudíž se o většině z nich vůbec neví. Kritické opravy se pak nasazují v řádech týdnů či měsíců, někdy to ale trvá i několik let. Hackeři ale většinou stíhají proskenovat všechny servery vystavené do internetu na celém světě nejpozději do dvou dnů od zveřejnění nové zranitelnosti. Pokud naleznou kritickou zranitelnost s existujícím exploitem, stihnou ji zneužít, a do vnitřních systémů organizací se tak dostanou rychleji než „ty dveře obránci zavřou“. Podobná situace, jako se zranitelnostmi Microsoft Exchange, se opakuje bohužel stále dokola, ať už se jedná
o zranitelnosti jakéhokoliv softwaru nehledě na výrobce.

Pokud půjdeme do hlubšího technického detailu, proces záplatování v mnoha ohledech selhává
z důvodu komplexnosti prostředí, chybějících testovacích prostředí pro pilotní testování dopadu patchů, a s tím spojený fakt, že mnoho společností neinstaluje na Exchange tzv. CU neboli Cumulative Updates. Jedná se o balíky záplat, které jsou bohužel nutnou prerekvizitou pro správné záplatování této konkrétní aktuální zranitelnosti. Toto vše následně výrazně prodlužuje nutnou odstávku, popřípadě zcela odrazuje od záplatování dané zranitelnosti.

 

V čem je řízení zranitelností vlastně tak složité a důležité? (vysvětlení pro laiky)

Představme si zranitelnost jako „otevřené dveře do vašeho domu“, kterými může zcela volně vejít kdokoli, včetně hackerů/zlodějů atd. U skutečného domu asi znáte přesně počet všech dveří, a asi byste brzy zjistili, pokud by se vám na dveřích rozbil zámek a dveře by zůstaly dokořán otevřené –
a současně máte šanci toto pravidelně kontrolovat.

Bohužel, u ICT systémů je situace mnohem složitější. V každé části systému, zejména v různých softwarech (jako je např. Microsoft Exchange), jsou stovky nebo tisíce různě velkých dveří, s různou kvalitou zámků, a většinou jsou některé ze dveří pootevřené, či otevřené dokořán. Každý den se v různých softwarech objevují nové a nové dveře, a nebo dosavadní zámky přestávají dovírat. Vlastník domu, v tomto případě vlastník ICT systému, má provádět několik zásadních kroků. Každý den, minimálně jednou a u kritických systémů i několikrát za den, neustále kontrolovat, kolik dveří má, kolik nových dveří se mu objevilo, kolik zámků nedovírá, kolik dveří je otevřených…

Pokud najde otevřené dveře nebo rozbitý zámek, měl by zjistit, kam dané dveře vedou. Je totiž rozdíl ve dveřích do kůlny a ve dveřích vedoucí do trezoru se šperky v podobě dat. Pokud jsou dveře důležité, je nutné je okamžitě opravit, tj. nasadit už zmíněný patch neboli záplatu.

Setkáváme se ale čím dál častěji s tím, že rozbité dveře se opravují jednou za rok, což je naprosto nedostačující.

 

Co je potřeba okamžitě udělat?

Ověřit, zda je v systémech přítomna daná zranitelnost. Tu okamžitě odstranit nasazením patche, nebo případně re-instalací celého systému. Prověřit zpětně záznamy z bezpečnostních monitorovacích systémů (pokud jsou k dispozici) a zjistit, zda hackeři již pronikli do vnitřních systémů, případně kam všude se dostali a co všechno stihli provést (zranitelnost mohla být zneužita již před určitým časem). Aktivovat Incident response plán a Incident response tým (opět platí, pokud je
k dispozici).

 

A co dál?

Do budoucna je důležité začít bezpečnost řešit systematicky, kde proces řízení zranitelností (vyhledávání, prioritizace a odstraňování) je jednou z nejzákladnějších částí celého systému.

ICTS24

Jak se ukazuje, svět útočníků je extrémně rychlý, ani instalace „záplaty“ druhý den není dostatečně rychlá, musí se udělat ihned. K tomu je ale potřeba mít dostatek odvahy nebo správné lidi na manažerských pozicích, tedy takové, kteří se nezaleknou půldenního výpadku celého systému, včetně nefunkčních e-mailů, protože ví, že je to lepší než mít po útoku odstavený systém na několik dní, zpětně hledat a odstraňovat všechny následky průniku hackerů a o kritická data ve finále přijít. 

Komentář k aktuálním zranitelnostem v MS Exchange připravili odborníci z IT společnosti ANECT