Notas de Pentester: cuarentena, empleados remotos y cómo vivir con ella

En el contexto de la cuarentena universal y el traslado a udalenku, algunos de nuestros colegas comenzaron a lanzar escalada enérgicamente , por ejemplo, tienen un montón de empresas pirateadas. Quiero hablar sobre lo que se puede hacer en poco tiempo, haberte descifrado fue mucho más difícil.

Espero no abrir el velo de secreto de que RDP en el exterior es malo, incluso si este RDP conduce a un servidor hop en una red DMZ; en este caso, los atacantes pueden atacar a otros usuarios del servidor hop y comenzar a atacar dentro de la DMZ. En nuestra experiencia, salir de la DMZ a la red corporativa no es tan difícil: solo obtenga la contraseña de un administrador local o de dominio (y las contraseñas a menudo se usan de la misma manera) y puede profundizar en la red corporativa.

Incluso si tiene un servidor completamente actualizado y cree que no hay exploits para RDP, todavía hay varios vectores de ataque potenciales:

1. Selección de contraseña (además, los atacantes no pueden seleccionar las contraseñas, pero las explican, la llamada rociadura de contraseñas)
2. , , , .
3. .
4. RDP .

Una buena solución sería utilizar Remote Desktrop Gateway (RDG), para no abrir RDP. La verdad es que no olvide que al comienzo del año 2 se encontraron vulnerabilidades críticas ( 2020-0609 y CVE-2020-0610 ) y que necesita actualizar sus servidores; sin embargo, esto siempre debe hacerse, y no solo cuando se liberan vulnerabilidades críticas.

Una solución aún mejor sería usar VPN + RDG, así como configurar 2FA para todos los servicios. Por lo tanto, el problema con la eliminación de RDG en el perímetro externo se resolverá y el acceso será solo a través de la VPN, lo que facilitará el seguimiento de quién se está contactando con el RDG. Además, el uso de 2FA ayudará a hacer frente al problema de las posibles contraseñas simples: al elegir una contraseña, pero sin 2 factores, un atacante aún no podrá conectarse a VPN \ RDP.

No te olvides de las actualizaciones del servicio VPN. El otro día, Cisco publicó en el aviso que encontró varios vectores de ataque nuevos con la vulnerabilidad CVE-2018-0101. Y, aunque al momento de escribir el artículo todavía no existe un código de explotación público, dada la situación, vale la pena actualizar sus dispositivos.

Algunas personas usan sistemas VDI para acceso remoto (por ejemplo, Citrix y VMware); también puede haber problemas. Comenzando con la capacidad de seleccionar contraseñas y obtener más acceso al escritorio / aplicación, terminando con ataques en sistemas sin parches y contraseñas / cuentas predeterminadas instaladas.

Si un atacante obtuvo acceso dentro de VDI, la llamada salida del modo de aplicación puede servir como un ataque: cuando los atajos de teclado están configurados incorrectamente, puede salir de la aplicación en el sistema operativo y luego usar la línea de comando para atacar el sistema operativo y los usuarios.

No solo los sistemas de acceso remoto, sino también otras aplicaciones corporativas pueden atacar. Por ejemplo, muchos ahora abren aplicaciones OWA en el perímetro externo, a través del cual los empleados pueden recibir correo, abren Jira para realizar el seguimiento de las tareas y se olvidan de posibles ataques a estas aplicaciones.

Cualquier aplicación web puede ser atacada y utilizada para nuevos ataques. Si es posible, debe darles acceso a través de una VPN o al menos aplicar medidas de seguridad básicas, como parches, bloqueo de múltiples solicitudes de restablecimiento de contraseña / contraseña.

Los atacantes pueden atacar aplicaciones de la siguiente manera:

1. Explote las vulnerabilidades en los propios servicios (por ejemplo, CVE-2019–11581 se encontró en Jira el año pasado, y durante los proyectos de Pentest encontramos repetidamente servidores vulnerables).
2. Intenta recoger contraseñas o cuentas.
3. Aproveche el hecho de que los sistemas tienen cuentas predeterminadas habilitadas, y las contraseñas de ellos no se cambian.

Por supuesto, los empleados son un enlace vulnerable: pueden ser atacados por phishing y luego usar sus dispositivos para penetrar el perímetro interno de la organización. Una vez más, si es más probable que los antivirus estén en las computadoras portátiles de trabajo, entonces en el caso de los dispositivos personales no existe tal certeza, es muy posible que estén infectados.

Por estas razones, cuando las personas trabajan desde casa, es necesario tomar medidas adicionales para aumentar su alfabetización en temas de seguridad de la información: realizar capacitación adicional a través de cursos o seminarios web, enviar correos electrónicos con advertencias e informar sobre nuevos tipos de phishing.

Por ejemplo, aquí están nuestras instrucciones para los empleados: cómo trabajar de forma remota y mantenerse a salvo.