Hafnium и Exchange: патч, который ждал слишком долго

В начале марта 2021 года Microsoft выпустила экстренные патчи для четырёх критических уязвимостей нулевого дня в Exchange Server. В течение нескольких дней десятки тысяч организаций по всему миру были скомпрометированы. Группа Hafnium эксплуатировала эти уязвимости тихо на протяжении нескольких недель ещё до появления патча. После его выхода в атаку бросились десятки других групп - раньше, чем большинство организаций успело установить исправление.

Я наблюдал, как несколько компаний среднего размера проходили через аварийный режим реагирования на инцидент. Картина была одинаковой: уязвимость была известна, патч был доступен, сервер всё равно стоял без обновления две недели спустя.

Почему установка патчей такая медленная

Обычное объяснение - «управление изменениями». На практике всё проще: никто не владеет решением. Команда безопасности фиксирует уязвимость. Команда инфраструктуры говорит, что нужно технологическое окно. Бизнес отвечает, что квартал напряжённый. Юристы просят оценку рисков. Проходит три недели.

Exchange - не периферийная система. Это почта всей компании. Люди боятся её трогать. Этот страх без жёсткого триггера превращается в хроническую задержку.

Как выглядела атака

Цепочка Hafnium позволяла злоумышленнику аутентифицироваться как любой пользователь, записывать произвольные файлы на сервер и выполнять код удалённо. Оказавшись внутри Exchange, перемещение в Active Directory и дальше по сети было несложным. Многие компрометации обнаруживались не через часы, а через недели - после того как атакующий уже изучил окружение.

Поверхность атаки не была экзотической. Сервер на порту 443, доступный из интернета, работающий на уязвимом программном обеспечении.

Организационная проблема под поверхностью

Управление патчами ломается на уровне принятия решений, а не на техническом уровне. Типичные пробелы, которые я вижу:

• Нет SLA по классам критичности. Критический патч с удалённым выполнением кода и низкоприоритетное информационное обновление лежат в одной очереди.
• Нет владельца с полномочиями согласовать экстренное техническое окно без комитета.
• Нет проверенной процедуры отката для ключевых систем.
• Инвентаризация устарела на полгода - никто не знает, какая версия Exchange работает и где.

Это не сложные проблемы. Это проигнорированные проблемы.

Как выглядит минимальный рабочий процесс

Я не призываю к полному внедрению ITSM. Минимум, который реально работает:

• Уровни критичности с дедлайнами: критический патч для интернет-доступных систем - 72 часа, а не «следующий спринт».
• Один ответственный на каждую критическую систему с правом назначить экстренное окно.
• Ежеквартальная тренировка: выбрать случайный сервер, установить патч, убедиться, что он поднялся, зафиксировать затраченное время.
• Ежеквартальная сверка инвентаря с тем, что реально доступно из интернета.

Дорогой инструментарий здесь не нужен. Нужен человек, который это запишет, и другой человек, который проверит, что это выполнено.

Реальная цена ожидания

Компании, пострадавшие в волне Hafnium, не страдали от отсутствия осознанности в сфере безопасности. У них были файрволы, антивирусы и политики безопасности. Им не хватало процесса, который делал бы установку патчей быстрее, чем окно эксплуатации у атакующего.

В марте 2021 года это окно измерялось днями. В будущих инцидентах оно может измеряться часами.