Kalendern visar mitten på augusti. Semestern är avslutad för den här gången. Juli och augusti har bjudit på ett strålande väder och många sköna sommarkvällar. Lediga veckor med avkoppling och samvaro i ett lugnare tempo, som vanligt välbehövligt efter en hektisk vår.
Men trots att dom flesta av oss njuter och är lediga så finns det dom som ser sina möjligheter.
Redan tidigt i våras så dök det upp kritiska sårbarheter i Microsoft mailserver Exchange. Det gällde för alla kunder som ännu inte tagit steget upp i molnet med Microsoft 365. Inte mindre än fyra olika sårbarheter nyttjades för att komma rakt in i företagets mailserver. Här kunde sedan intrånget fortsätta in bland filer och användare. Läs mer om det här.
Det skapade full aktivitet bland landets IT-säkerhetsexperter och IT-konsulter.
Sen har det bara fortsatt. Det är ingen slump att det sker fler attacker på helger eller under perioder där semester är vanligt. Det ger helt enkelt hotaktören längre tid på sig att ta sig in ostört och plantera bakdörrar, kopiera ut eller kryptera data. Oftast sker alla tre.
Under sommaren har det upptäckts en hel del nya sårbarheter, många av dessa har varit väldigt allvarliga och krävt snabba åtgärder för att undvika intrång. Några av dom större har jag valt ut och skrivit några rader om för att belysa vikten av ett bra säkerhetsarbete.
PrintNightmare i slutet på juni
En sårbarhet som tillåter ett vanligt användarkonto att ta över en server som kör skrivartjänsten. Skrivartjänsten är igång som standard på alla servar och klienter med Windows och är väldigt vanlig på domänkontrollanter. Det gör att med en enkel phising-attack så kan en hotaktör via vilken dator som helst i en datordomän ta över hela Active Directory med alla kontouppgifter.
Trots flertalet säkerhetsuppdateringar från Microsoft så är problemet ännu inte löst. Det är enbart genom manuell handpåläggning som sårbarheten kan begränsas.
Kaseya VSA i början på juli
Redan i december 2020 såg vi den första riktigt stora attacken mot ett manageringsverktyg som heter Solarwinds Orion. Det är ett verktyg som riktar sig mot stora organisation med tusentals enheter så som myndigheter och stora globala företag. Attacken är av typen supply chain. Det vill säga att istället för att gå direkt på kunden så attackeras kunden via någon av sina leverantörer. I det här fallet via det verktyg som hanterar och styr alla datorer och servrar.
I början av juli 2021 var det dags för nästa stora manageringsverktyg att bli attackerat. Kaseya VSA. Även här så var målet slutkunden och alla dess enheter. Genom ta sig in i Kaseyas plattform så fick hotaktören tillgång till nätverk och enheter för att utföra ransomware-attacker.
Här i Sverige märkte vi det bland annat för att matvarukedjan COOP var tvungen att stänga sina butiker då kassorna inte längre fungerade. Allt var krypterat!
HiveNightmare i mitten på juli
Ett par veckor senare var det dags igen. Den här gången gäller det Windows 10 och 11. Ett säkerhetshål i operativsystemet tillåter en vanlig användare att läsa kritiska registerfiler som bland annat innehåller lokala användares hashade lösenord, datorkontons lösenord och servicekontons lösenord. Tjänster som är konfigurerade att använda domänkonton för att köras går alltså att läsa ut. I klartext.
En uppdatering är släppt för att åtgärda säkerhetshålet.
PetitPotam i början på augusti
Ett nytt säkerhetshot har upptäcks i kommunikationen mellan en domänkontrollant och AD CS (Active Directory Certificate Services). En hotaktör kan med endast en enhet i samma nätverk skaffa sig domänadministratörsrättigheter och ta över åtkomst till hela Active Directory med alla användare.
Ingen säkerhetsuppdatering är släppt ännu. Det är endast genom manuella åtgärder som säkerhetshålet kan begränsas.
Går det att skydda sig?
Det är en dyster bild men det är tyvärr den verklighet som vi lever med idag.
Det kommer alltid vara så att hotaktörerna ligger ett steg före men det betyder inte att vi bara ska invänta en attack. Tvärtom!
Genom att vara medveten om riskerna så går det att proaktivt minimera attackytor och upprätta planer för hur arbetet ska gå till efter en incident.
Se till att installera säkerhetsuppdateringar regelbundet. Helst helt automatiserat så att arbete sker även på kvällar, nätter och semester när det enbart är hotaktörer som vill jobba. Se min tidigare post om mjukvaruuppdateringar.
Kontakta oss på Midcon så kan vi tillsammans gå igenom er miljö och vi kan hjälper er att undvika vara den lägst hängande frukten för en hotaktör. Ni får konkreta handfasta tips på hur ni enkelt skapar en mer säker miljö.
Johan Larsson
Chef Affärstöd & Erbjudande
Midcon
