Notes de Pentester: mise en quarantaine, employés distants et comment vivre avec

Dans le contexte de la mise en quarantaine universelle et du passage à udalenku, certains de nos collègues ont commencé à lancer vigoureusement une escalade - disons, autour d'un tas d'entreprises piratées. Je veux parler de ce qui peut être fait en peu de temps, vous casser était beaucoup plus difficile.

J'espère que je n'ouvrirai pas le voile du secret selon lequel le RDP à l'extérieur est mauvais, même si ce RDP mène à un serveur de saut dans un réseau DMZ - dans ce cas, les attaquants peuvent attaquer d'autres utilisateurs du serveur de saut et commencer à attaquer à l'intérieur de la DMZ. D'après notre expérience, sortir de la DMZ dans le réseau d'entreprise n'est pas si difficile - obtenez simplement le mot de passe d'un administrateur local ou de domaine (et les mots de passe sont souvent utilisés de la même manière) et vous pouvez aller plus loin dans le réseau d'entreprise.

Même si vous avez un serveur complètement mis à jour et que vous pensez qu'il n'y a aucun exploit pour RDP, il existe encore plusieurs vecteurs d'attaque potentiels:

1. Sélection du mot de passe (en outre, les attaquants ne peuvent pas sélectionner les mots de passe, mais en tiennent compte - la soi-disant pulvérisation de mot de passe)
2. , , , .
3. .
4. RDP .

Une bonne solution serait d'utiliser la passerelle Remote Desktrop (RDG), afin de ne pas ouvrir RDP. La vérité est, n'oubliez pas qu'au début de l'année 2 des vulnérabilités critiques ont été trouvées ( 2020-0609 et CVE-2020-0610 ) et que vous devez mettre à jour vos serveurs - cependant, cela devrait toujours être fait, et pas seulement lorsque des vulnérabilités critiques sont publiées.

Une solution encore meilleure serait d'utiliser VPN + RDG, ainsi que de configurer 2FA pour tous les services. Ainsi, le problème de la suppression du RDG vers le périmètre externe sera résolu et l'accès ne se fera que via le VPN, ce qui facilitera le suivi de qui contacte le RDG. De plus, l'utilisation de 2FA aidera à résoudre le problème des mots de passe simples possibles: en récupérant un mot de passe, mais sans 2 facteurs, un attaquant ne pourra toujours pas se connecter à VPN \ RDP.

N'oubliez pas les mises à jour du service VPN. Juste l'autre jour, Cisco a publié dans l'avis qu'il a trouvé plusieurs nouveaux vecteurs d'attaque avec la vulnérabilité CVE-2018-0101. Et, bien qu'au moment de la rédaction de l'article, il n'y ait pas encore de code d'exploitation public, étant donné la situation, cela vaut la peine de mettre à jour vos appareils.

Certaines personnes utilisent des systèmes VDI pour l'accès à distance (par exemple, Citrix et VMware) - il peut également y avoir des problèmes. Commençant par la possibilité de sélectionner des mots de passe et d'accéder davantage au bureau / à l'application, se terminant par des attaques sur des systèmes non corrigés et des comptes / mots de passe par défaut installés.

Si un attaquant a accès à l'intérieur de VDI, la soi-disant sortie du mode application peut servir d'attaque: lorsque les raccourcis clavier sont mal configurés, vous pouvez quitter l'application dans le système d'exploitation, puis utiliser la ligne de commande pour attaquer le système d'exploitation et les utilisateurs.

Non seulement les systèmes d'accès à distance, mais aussi d'autres applications d'entreprise peuvent attaquer. Par exemple, beaucoup ouvrent maintenant des applications OWA sur le périmètre externe, à travers lequel les employés peuvent recevoir du courrier, ouvrent Jira pour suivre les tâches, oubliant les attaques possibles sur ces applications.

Toutes les applications Web peuvent être attaquées et utilisées pour d'autres attaques. Si possible, vous devez leur donner accès via un VPN ou au moins appliquer des mesures de sécurité de base, telles que l'application de correctifs, le blocage de plusieurs demandes de réinitialisation / mot de passe de mot de passe.

Les attaquants peuvent attaquer des applications comme suit:

1. Exploitez les vulnérabilités des services eux-mêmes (par exemple, CVE-2019-11581 a été trouvé dans Jira l'année dernière, et pendant les projets Pentest, nous avons trouvé à plusieurs reprises des serveurs vulnérables).
2. Essayez de récupérer des mots de passe ou des comptes.
3. Tirez parti du fait que les comptes par défaut des systèmes sont activés et que leur mot de passe n'est pas modifié.

Bien sûr, les employés sont un maillon vulnérable: ils peuvent être attaqués par le phishing puis utiliser leurs appareils pour pénétrer le périmètre interne de l'organisation. Encore une fois - si les antivirus sont le plus susceptibles d'être installés sur des ordinateurs portables professionnels, alors dans le cas des appareils personnels, il n'y a pas une telle certitude - ils pourraient bien être infectés.

Pour ces raisons, lorsque les gens travaillent à domicile, il est nécessaire de prendre des mesures supplémentaires pour accroître leur niveau d'alphabétisation en matière de sécurité de l'information - suivre une formation supplémentaire par le biais de cours ou de webinaires, rédiger des newsletters avec des avertissements et parler de nouveaux types de phishing.

Par exemple, voici nos instructions pour les employés - comment travailler à distance et rester en sécurité.