Pentester-Notizen: Quarantäne, Remote-Mitarbeiter und wie man damit lebt

Vor dem Hintergrund der Universal-Quarantäne und Umzug nach udalenku einige unserer Kollegen energisch begann throw eskalieren - sagen wir, haben um ein paar gehackten Unternehmen. Ich möchte darüber sprechen, was in kurzer Zeit getan werden kann, dich zu knacken war viel schwieriger.

Ich hoffe, ich öffne nicht den Schleier der Geheimhaltung, dass RDP nach außen schlecht ist, selbst wenn dieses RDP zu einem Hop-Server in einem DMZ-Netzwerk führt. In diesem Fall können Angreifer andere Benutzer des Hop-Servers angreifen und innerhalb der DMZ angreifen. Nach unserer Erfahrung ist es nicht so schwierig, aus der DMZ in das Unternehmensnetzwerk zu gelangen. Holen Sie sich einfach das Kennwort für einen lokalen oder Domänenadministrator (und die Kennwörter werden häufig gleich verwendet), und Sie können tiefer in das Unternehmensnetzwerk einsteigen.

Selbst wenn Sie einen vollständig aktualisierten Server haben und der Meinung sind, dass es keine Exploits für RDP gibt, gibt es immer noch mehrere potenzielle Angriffsmethoden:

1. Passwortauswahl (außerdem können Angreifer keine Passwörter auswählen, sondern berücksichtigen diese - das sogenannte Passwortsprühen)
2. , , , .
3. .
4. RDP .

Eine gute Lösung wäre die Verwendung von Remote Desktrop Gateway (RDG), damit Sie RDP nicht öffnen. Vergessen Sie nicht, dass zu Beginn des Jahres 2 kritische Schwachstellen gefunden wurden ( 2020-0609 und CVE-2020-0610 ) und Sie Ihre Server aktualisieren müssen. Dies lohnt sich jedoch immer und nicht nur, wenn kritische Schwachstellen veröffentlicht werden.

Eine noch bessere Lösung wäre die Verwendung von VPN + RDG sowie die Konfiguration von 2FA für alle Dienste. Somit wird das Problem mit dem Entfernen von RDG zum externen Perimeter gelöst und der Zugriff darauf erfolgt nur über das VPN, wodurch es einfacher wird, zu verfolgen, wer die RDG kontaktiert. Darüber hinaus hilft die Verwendung von 2FA, das Problem möglicher einfacher Kennwörter zu lösen: Durch Abrufen eines Kennworts, jedoch ohne zwei Faktoren, kann ein Angreifer immer noch keine Verbindung zu VPN \ RDP herstellen.

Vergessen Sie nicht die VPN-Service-Updates. Erst neulich veröffentlichte Cisco in der Empfehlung, dass mehrere neue Angriffsmethoden mit der Sicherheitsanfälligkeit CVE-2018-0101 gefunden wurden. Und obwohl es zum Zeitpunkt des Schreibens des Artikels noch keinen öffentlichen Exploit-Code gibt, lohnt es sich angesichts der Situation, Ihre Geräte zu aktualisieren.

Einige Benutzer verwenden VDI-Systeme für den Remotezugriff (z. B. Citrix und VMware). Möglicherweise treten auch Probleme auf. Beginnend mit der Möglichkeit, Kennwörter auszuwählen und weiteren Zugriff auf den Desktop / die Anwendung zu erhalten, bis hin zu Angriffen auf nicht gepatchte Systeme und installierte Standardkonten / Kennwörter.

Wenn ein Angreifer Zugriff auf VDI erhalten hat, kann der sogenannte Beenden des Anwendungsmodus als Angriff dienen: Wenn die Tastaturkürzel falsch konfiguriert sind, können Sie die Anwendung im Betriebssystem beenden und dann über die Befehlszeile das Betriebssystem und die Benutzer angreifen.

Nicht nur RAS-Systeme, sondern auch andere Unternehmensanwendungen können angreifen. Beispielsweise öffnen viele jetzt OWA-Anwendungen auf dem externen Perimeter, über die Mitarbeiter E-Mails empfangen können, öffnen Jira, um Aufgaben zu verfolgen, und vergessen mögliche Angriffe auf diese Anwendungen.

Alle Webanwendungen können angegriffen und für weitere Angriffe verwendet werden. Wenn möglich, sollten Sie ihnen Zugriff über ein VPN gewähren oder zumindest grundlegende Sicherheitsmaßnahmen anwenden, z. B. Patchen, Blockieren mehrerer Kennwortrücksetzungen / Kennwortanforderungen.

Angreifer können Anwendungen wie folgt angreifen:

1. Nutzen Sie Schwachstellen in den Diensten selbst aus (z. B. wurde CVA-2019–11581 letztes Jahr in Jira gefunden, und während der Pentest-Projekte haben wir wiederholt anfällige Server gefunden).
2. Versuchen Sie, Passwörter oder Konten abzurufen.
3. Nutzen Sie die Tatsache, dass auf Systemen Standardkonten aktiviert sind und Kennwörter von diesen nicht geändert werden.

Natürlich sind Mitarbeiter ein gefährdetes Glied: Sie können durch Phishing angegriffen werden und dann mit ihren Geräten in den internen Bereich des Unternehmens eindringen. Auch hier - wenn Antivirenprogramme am wahrscheinlichsten auf Arbeits-Laptops vorhanden sind, gibt es bei persönlichen Geräten keine solche Sicherheit - können sie durchaus infiziert sein.

Wenn Menschen von zu Hause aus arbeiten, müssen aus diesen Gründen zusätzliche Maßnahmen ergriffen werden, um ihre Kenntnisse in Fragen der Informationssicherheit zu verbessern. Führen Sie zusätzliche Schulungen durch Kurse oder Webinare durch, führen Sie Mailings mit Warnungen durch und informieren Sie über neue Arten von Phishing.

Hier ist zum Beispiel unsere Anleitung für Mitarbeiter - wie man aus der Ferne arbeitet und sicher bleibt.