Cinq vulnérabilités dangereuses pour le travail à distance

Image: Unsplash

Lors du transfert des employés en mode distant, les services informatiques font diverses erreurs de sécurité et fournissent aux tiers un accès à l'infrastructure interne.

Pour commencer, nous énumérons les vulnérabilités qui devraient être rapidement éliminées dans notre infrastructure afin que ces mois difficiles ne deviennent pas une «viande facile» pour les opérateurs de virus cryptographiques ou les groupes APT à vocation financière.

1. Depuis fin février, le nombre de nœuds disponibles utilisant le protocole RDP (Remote Desktop Protocol) a augmenté rapidement. Notre surveillance montre qu'en moyenne 10% de ces nœuds sont vulnérables à BlueKeep ( CVE-2019-0708 ).

BlueKeep vous permet de contrôler à distance un contrôle total sur un ordinateur basé sur les systèmes d'exploitation Windows 7, Windows Server 2008 et Windows Server 2008 R2 (avez-vous passé à Windows 10 depuis longtemps et pouvez-vous être en sécurité?). Pour une attaque, il suffit d'envoyer une demande RDP spéciale aux services RDS (Remote Desktop Services) vulnérables, l'authentification n'est pas requise.

Plus le nombre de nœuds avec le protocole RDP augmente rapidement, plus les machines sont vulnérables (en règle générale). Par exemple, dans l'Oural, le nombre de nœuds ouverts a augmenté de 21%, et dans 17% des systèmes, il existe une vulnérabilité BlueKeep. Viennent ensuite le Sibérien (21% et 16% respectivement), le Nord-Ouest (19% et 13%), le Sud (12% et 14%), la Volga (8% et 18%), l'Extrême-Orient (5% et 14%) et District fédéral central (4% et 11%).

En plus d'installer des correctifs, pour éliminer la vulnérabilité BlueKeep, ainsi que le CVE-2019-1181 / 1182 similaire, il est nécessaire de fournir un accès distant via une passerelle. Pour les connexions RDP, il s'agit de Remote Desktop Gateway (RDG), pour VPN - VPN Gateway. La connexion à distance directement au lieu de travail est contre-indiquée.

2. Les nouvelles versions de Windows comportent également des vulnérabilités qui permettent à un attaquant de marcher sur un réseau étranger à l'aide des erreurs des services Bureau à distance. Il s'agit du CVE-2019-1181 / 1182 , nommé par un certain nombre d'experts BlueKeep-2. Nous vous recommandons de vérifier et, si nécessaire, d'installer de nouveaux correctifs, même si l'accès à distance est organisé par RDG sur votre réseau.

3. Dans le classement des problèmes de sécurité les plus dangereux, nous donnons le bronze aux vulnérabilités du logiciel Citrix ( CVE-2019-19781), identifié par l'expert de Positive Technologies Mikhail Klyuchnikov et officieusement nommé Shitrix en raison de retards dans les mises à jour et de la présence d'un exploit. Un mois et demi après la publication des premiers détails, une vulnérabilité était présente dans environ 16 000 entreprises. L'erreur est extrêmement dangereuse et vous permet de pénétrer le réseau local depuis Internet. Il est notamment utilisé par les opérateurs de virus rançongiciels Ragnarok et REvil / Sodinokibi .

4. N'oubliez pas l'ancienne vulnérabilité du protocole de bureau à distance CVE-2012-0002 (MS11-065), qui se trouve toujours sur les périmètres du réseau. Cette faille découverte en 2012 a été rappelée pour la fuite de code PoC de l'un des partenaires de Microsoft dans MAAP et les allégationsaurait été employée par le GRU pour tenter de lui acheter un exploit.

5. Enfin, il convient de prêter attention à l'erreur dans le mécanisme de désérialisation du langage de programmation PHP 7 ( CVE-2019-11043 ). Il permet également à un utilisateur non autorisé d'exécuter du code arbitraire. Serveurs nginx à risque avec FPM activé (un package pour le traitement des scripts en langage PHP). Cette faille a provoqué l'infection des utilisateurs de stockage cloud NextCloud par NextCry.

Le système de gestion centralisé pour les mises à jour et les correctifs aidera à automatiser le processus de correction des systèmes d'entreprise, et les outils d'analyse de sécurité aideront à vérifier qu'il n'y a pas de vulnérabilités .

Installer les mises à jour sur le PC des employés

Il est impossible de ne pas se rappeler que de nombreux ordinateurs personnels sur lesquels les employés de bureau ont déménagé, ils ont récemment effacé la poussière, et ils constituent un problème du point de vue de la sécurité des informations. Dans un monde idéal, il est préférable de ne pas donner accès aux ordinateurs personnels, mais de mettre en évidence des systèmes d'entreprise éprouvés et préparés. Mais maintenant, les ordinateurs portables ne suffisent plus à tout le monde . Par conséquent, il est nécessaire d'organiser un processus à grande échelle de mise à jour des ordinateurs personnels à distance afin qu'ils ne deviennent pas un point d'entrée pour les attaquants.

Tout d'abord, il est important de mettre à jour les systèmes d'exploitation, les produits bureautiques et les logiciels antivirus. En outre, vous devez avertir les employés des dangers liés à l'utilisation de navigateurs obsolètes, tels que les versions non prises en charge d'Internet Explorer. Avant de mettre à jour les ordinateurs personnels, vous devez créer un point de récupération ou effectuer une sauvegarde du système pour restaurer en cas de problème, comme une autre mise à jour de Windows 10 ayant échoué .

En ce qui concerne la politique de mot de passe, nous vous recommandons d'utiliser des mots de passe d'une longueur minimale de 12 caractères pour les comptes non privilégiés et d'au moins 15 caractères pour les administrateurs lors de la connexion à distance. Utilisez différents types de caractères en même temps (minuscules et majuscules, caractères spéciaux, chiffres) et excluez les mots de passe faciles à deviner. Selon nos données, en 2019, 48% de tous les mots de passe sélectionnés étaient constitués d'une combinaison d'un mot indiquant l'heure de l'année ou du mois et de quatre chiffres indiquant l'année (septembre 2019 ou dans la disposition du clavier anglais Ctynz, hm2019). Ces mots de passe correspondent formellement à la politique de mot de passe, mais sont sélectionnés selon les dictionnaires en quelques minutes.

En général, le saut dans les outils de contrôle à distance est nuisible dans les conditions actuelles: notre conseil est de choisir un programme et de différencier les droits des utilisateurs locaux. Ce sera correct si sur certains ordinateurs distants utilisant, par exemple, Windows AppLocker, des listes de logiciels autorisés sont enregistrées.

Il convient également de mentionner les éventuels problèmes liés à l'organisation de l'accès VPN. Les informaticiens peuvent ne pas avoir le temps de reconfigurer l'équipement en peu de temps et de fournir à tous les utilisateurs VPN l'accès dont ils ont besoin sans violer les règles de démarcation. Par conséquent, pour assurer la continuité des activités, les professionnels de l'informatique devront choisir l'option la plus rapide et la plus simple - pour ouvrir l'accès au sous-réseau requis non seulement à un employé, mais à tous les utilisateurs VPN à la fois. Cette approche réduit considérablement la sécurité et ouvre des opportunités non seulement pour les attaques d'un attaquant externe (s'il peut pénétrer), mais augmente également considérablement le risque d'une attaque par un initié. Nous vous recommandons de penser à l'avance à un plan d'action pour préserver la segmentation du réseau et allouer le nombre requis de pools VPN.

L'ingénierie sociale utilise déjà pleinement les histoires de coronavirus, et nous vous recommandons de familiariser les employés avec les nouveaux sujets des attaques de phishing. Des groupes APT tels que Gamaredon et Higaisa exploitent des histoires liées aux transferts, interdictions, annulations, travail à distance et attaquent les adresses e-mail personnelles des employés. L'envoi de phishing a été effectué par des attaquants inconnus dans notre entreprise: les criminels ont tenté de voler des informations d'identification. Les employés doivent comprendre la gravité de la menace et être prêts à distinguer le courrier légitime du phishing. Pour ce faire, nous vous recommandons de distribuer de brefs supports de formation visuels et des mémos sur la sécurité de l'information et l'ingénierie sociale. L'hameçonnage dynamique de fichiers dans le courrier d'entreprise à l'aide de sandbox aidera à identifier les symptômes d'hameçonnage.

Il est également nécessaire de prêter attention aux systèmes de gestion électronique des documents et aux ERP. De nos jours, les applications métier qui n'étaient auparavant accessibles que de l'intérieur et qui n'étaient pas analysées pour détecter les vulnérabilités sont activement rendues publiques. Dans le même temps, le niveau de sécurité des personnes analysées était faible . Pour vous protéger contre l'exploitation des menaces Web contre les applications critiques, nous vous recommandons d'utiliser des pare-feu, une couche d'application (pare-feu d'application Web).

La disponibilité et la disponibilité ces semaines jouent un rôle clé, et de nombreuses entreprises n'auront pas le temps d'éliminer les vulnérabilités sur le périmètre et d'affiner les processus SI, donc dans certains cas, il sera nécessaire de se concentrer sur l'identification des contrevenants qui sont déjà tombés dans l'infrastructure. Dans de tels cas, ils peuvent s'appliquer.des systèmes d'analyse approfondie du trafic réseau (NTA) conçus pour détecter les attaques ciblées (en temps réel et dans les copies de trafic enregistrées) et réduire le temps de présence secrète des attaquants.