Fünf Sicherheitslücken, die für die Remote-Arbeit gefährlich sind

Bild: Unsplash

Beim Übertragen von Mitarbeitern in den Remote-Modus machen IT-Abteilungen verschiedene Sicherheitsfehler und bieten Außenstehenden Zugriff auf die interne Infrastruktur.

Zunächst werden wir die Schwachstellen auflisten, die in unserer Infrastruktur schnell beseitigt werden sollten, damit diese schwierigen Monate für Betreiber von kryptografischen Viren oder finanziell orientierte APT-Gruppen nicht zu einem „leichten Fleisch“ werden.

1. Seit Ende Februar ist die Anzahl der verfügbaren Knoten, die das Remotedesktopprotokoll (RDP) verwenden, rapide gestiegen. Unsere Überwachung zeigt, dass durchschnittlich 10% dieser Knoten für BlueKeep anfällig sind ( CVE-2019-0708 ).

Mit BlueKeep können Sie die vollständige Kontrolle über einen Computer aus der Ferne erlangen, der auf den Betriebssystemen Windows 7, Windows Server 2008 und Windows Server 2008 R2 basiert (haben sie vor langer Zeit auf Windows 10 umgestellt und können sicher sein?). Senden Sie zum Angriff einfach eine spezielle RDP-Anforderung an anfällige Remotedesktopdienste (RDS). Eine Authentifizierung ist nicht erforderlich.

Je schneller die Anzahl der Knoten mit dem RDP-Protokoll wächst, desto anfälliger sind Computer (in der Regel). Im Ural beispielsweise stieg die Anzahl offener Knoten um 21%, und in 17% der Systeme besteht eine BlueKeep-Sicherheitsanfälligkeit. Als nächstes folgen Sibirien (21% bzw. 16%), Nordwesten (19% und 13%), Süden (12% und 14%), Wolga (8% und 18%), Fernost (5% und 14%) und Zentrale (4% und 11%) Bundesbezirke.

Zusätzlich zur Installation von Patches ist zur Beseitigung der BlueKeep-Sicherheitsanfälligkeit sowie des ähnlichen CVE-2019-1181 / 1182 ein Remotezugriff über ein Gateway erforderlich. Bei RDP-Verbindungen ist dies Remotedesktop-Gateway (RDG) für VPN - VPN-Gateway. Eine Fernverbindung direkt zum Arbeitsplatz ist kontraindiziert.

2. Neue Windows-Versionen weisen auch Sicherheitslücken auf, die es einem Angreifer ermöglichen, mithilfe von Remotedesktopdienst-Fehlern in einem fremden Netzwerk zu laufen. Dies ist CVE-2019-1181 / 1182 , benannt von einer Reihe von BlueKeep-2-Experten. Wir empfehlen, neue Patches zu überprüfen und gegebenenfalls zu installieren, auch wenn der Remotezugriff von RDG in Ihrem Netzwerk organisiert wird.

3. In der Rangliste der gefährlichsten Sicherheitsprobleme geben wir den Schwachstellen in der Citrix-Software ( CVE-2019-19781) Bronze), identifiziert von Mikhail Klyuchnikov, Experte für positive Technologien, und inoffiziell Shitrix genannt, aufgrund von Verzögerungen bei Updates und dem Vorhandensein eines Exploits. Eineinhalb Monate nach der Veröffentlichung der ersten Details war die Sicherheitslücke in etwa 16.000 Unternehmen vorhanden. Der Fehler ist äußerst gefährlich und ermöglicht es Ihnen, über das Internet in das lokale Netzwerk einzudringen. Es wird insbesondere von den Ransomware- Virenbetreibern Ragnarok und REvil / Sodinokibi verwendet .

4. Vergessen Sie nicht die ältere Sicherheitsanfälligkeit im Remotedesktopprotokoll CVE-2012-0002 (MS11-065), die immer noch auf Netzwerkperimetern vorhanden ist. Dieser Fehler im Jahr 2012 entdeckt wurde erinnerte undichten PoC - Code aus einem des Microsoft-Partner in MAAP und Behauptungenangeblich eine Mitarbeiterin der GRU, um einen Exploit für sie zu kaufen.

5. Schließlich ist auf den Fehler im Deserialisierungsmechanismus der Programmiersprache PHP 7 ( CVE-2019-11043 ) zu achten . Außerdem kann ein nicht autorisierter Benutzer beliebigen Code ausführen. Gefährdete Nginx-Server mit aktiviertem FPM (ein Paket zur Verarbeitung von Skripten in der PHP-Sprache). Der Fehler hat dazu geführt, dass NextCloud-Cloud-Speicherbenutzer mit NextCry infiziert wurden.

Das zentralisierte Verwaltungssystem für Updates und Patches hilft dabei, den Prozess des Patchens von Unternehmenssystemen zu automatisieren, und Sicherheitsanalysetools helfen dabei, sicherzustellen, dass keine Schwachstellen vorliegen .

Installieren Sie Updates auf dem PC des Mitarbeiters

Es ist unmöglich, sich nicht daran zu erinnern, dass viele Heim-PCs, auf denen Büroangestellte umgezogen sind, erst kürzlich den Staub beseitigt haben und unter dem Gesichtspunkt der Informationssicherheit ein Problem darstellen. In einer idealen Welt ist es besser, keinen Zugriff für PCs bereitzustellen, sondern bewährte und vorbereitete Unternehmenssysteme hervorzuheben. Aber jetzt sind Laptops möglicherweise nicht mehr für alle geeignet . Daher ist es erforderlich, einen umfangreichen Prozess zur Remote-Aktualisierung von Heim-PCs zu organisieren, damit diese nicht zum Einstiegspunkt für Angreifer werden.

Zunächst ist es wichtig, Betriebssysteme, Office-Produkte und Antivirensoftware zu aktualisieren. Darüber hinaus müssen Sie Mitarbeiter vor den Gefahren der Verwendung veralteter Browser warnen, z. B. nicht unterstützter Versionen von Internet Explorer. Vor dem Aktualisieren von Heimcomputern sollten Sie einen Wiederherstellungspunkt erstellen oder eine Sicherungskopie des Systems erstellen, um bei Problemen wie einem anderen fehlgeschlagenen Windows 10-Update ein Rollback durchzuführen .

In Bezug auf die Kennwortrichtlinie empfehlen wir, dass Sie Kennwörter mit mindestens 12 Zeichen für nicht privilegierte Konten und mindestens 15 Zeichen für administrative Konten verwenden, wenn Sie eine Remoteverbindung herstellen. Verwenden Sie gleichzeitig verschiedene Arten von Zeichen (Klein- und Großbuchstaben, Sonderzeichen, Zahlen) und schließen Sie leicht zu erratende Passwörter aus. Nach unseren AngabenIm Jahr 2019 bestanden 48% aller ausgewählten Passwörter aus einer Kombination aus einem Wort, das die Zeit des Jahres oder Monats angibt, und vier Ziffern, die das Jahr angeben (September 2019 oder im englischen Tastaturlayout Ctynz, hm2019). Solche Passwörter entsprechen formal der Passwortrichtlinie, werden jedoch innerhalb weniger Minuten anhand von Wörterbüchern ausgewählt.

Im Allgemeinen ist ein Sprung in Fernsteuerungstools unter den gegenwärtigen Bedingungen schädlich: Wir empfehlen, ein Programm auszuwählen und die Rechte lokaler Benutzer zu differenzieren. Es ist korrekt, wenn auf einigen Remotecomputern, die beispielsweise Windows AppLocker verwenden, Listen zulässiger Software registriert sind.

Es sollte auch über die möglichen Probleme im Zusammenhang mit der Organisation des VPN-Zugriffs gesprochen werden. IT-Spezialisten haben möglicherweise nicht die Zeit, die Geräte in kurzer Zeit neu zu konfigurieren und allen VPN-Benutzern den Zugriff zu gewähren, den sie benötigen, ohne die Abgrenzungsregeln zu verletzen. Um die Geschäftskontinuität zu gewährleisten, müssen IT-Experten die schnellste und einfachste Option auswählen - um den Zugriff auf das erforderliche Subnetz nicht nur einem Mitarbeiter, sondern allen VPN-Benutzern gleichzeitig zu ermöglichen. Dieser Ansatz verringert die Sicherheit erheblich und eröffnet nicht nur Möglichkeiten für Angriffe eines externen Angreifers (wenn er eindringen kann), sondern erhöht auch das Risiko eines Angriffs durch einen Insider erheblich. Wir empfehlen, dass Sie sich im Voraus einen Aktionsplan ausdenken, um die Netzwerksegmentierung beizubehalten und die erforderliche Anzahl von VPN-Pools zuzuweisen.

Social Engineering nutzt Coronavirus-Geschichten bereits in vollem Umfang. Wir empfehlen Ihnen, die Mitarbeiter mit neuen Themen zu Phishing-Angriffen vertraut zu machen. APT-Gruppen wie Gamaredon und Higaisa nutzen Geschichten im Zusammenhang mit Übertragungen, Verboten, Stornierungen, Remote-Arbeiten und greifen die persönlichen E-Mail-Adressen von Mitarbeitern an. Ein Phishing-Mailing wurde von unbekannten Angreifern an unser Unternehmen durchgeführt: Die Kriminellen versuchten, Ausweise zu stehlen. Die Mitarbeiter müssen die Schwere der Bedrohung verstehen und bereit sein, legitime E-Mails von Phishing zu unterscheiden. Zu diesem Zweck empfehlen wir, kurze visuelle Schulungsmaterialien und Memos zu Informationssicherheit und Social Engineering zu verteilen. Dynamisches Phishing von Dateien in Unternehmenspost mithilfe von Sandboxen hilft bei der Identifizierung von Phishing-Symptomen.

Es ist auch notwendig, auf elektronische Dokumentenmanagementsysteme und ERP zu achten. Heutzutage werden Geschäftsanwendungen, auf die bisher nur von innen zugegriffen werden konnte und die nicht auf Schwachstellen analysiert wurden, aktiv öffentlich zugänglich gemacht. Gleichzeitig war das Sicherheitsniveau der Analysierten gering . Zum Schutz vor der Ausnutzung webbasierter Bedrohungen für geschäftskritische Anwendungen empfehlen wir die Verwendung von Firewalls, Application Layer (Webanwendungs-Firewall).

Verfügbarkeit und Verfügbarkeit in diesen Wochen spielen eine Schlüsselrolle, und viele Unternehmen werden keine Zeit haben, Schwachstellen im Perimeter zu beseitigen und IS-Prozesse zu optimieren. In einigen Fällen wird es daher erforderlich sein, sich auf die Identifizierung von Verstößen zu konzentrieren, die bereits in die Infrastruktur gefallen sind. In solchen Fällen können sie gelten.Deep Network Traffic Analysis (NTA) -Systeme zur Erkennung gezielter Angriffe (in Echtzeit und in gespeicherten Kopien des Datenverkehrs) und zur Verkürzung der Zeit, in der Angreifer verdeckt anwesend sind.