Catatan Pentester: karantina, karyawan jarak jauh dan cara hidup dengannya

Terhadap latar belakang karantina universal dan pindah ke udalenku, beberapa kolega kami mulai dengan giat melempar eskalasi - katakanlah, ada banyak perusahaan yang diretas. Saya ingin berbicara tentang apa yang dapat dilakukan dalam waktu singkat, untuk memecahkan Anda jauh lebih sulit.

Saya harap saya tidak membuka tabir kerahasiaan bahwa RDP ke luar itu buruk, bahkan jika RDP ini mengarah ke server hop di jaringan DMZ - dalam hal ini, penyerang dapat menyerang pengguna lain dari server hop dan mulai menyerang di dalam DMZ. Dalam pengalaman kami, keluar dari DMZ ke jaringan perusahaan tidak begitu sulit - cukup dapatkan kata sandi untuk admin lokal atau domain (dan kata sandi sering digunakan sama) dan Anda dapat masuk lebih dalam ke jaringan perusahaan.

Bahkan jika Anda memiliki server yang sepenuhnya diperbarui dan Anda berpikir bahwa tidak ada exploit untuk RDP, masih ada beberapa vektor serangan potensial:

1. Pemilihan kata sandi (selain itu, penyerang tidak dapat memilih kata sandi, tetapi akun untuk mereka - yang disebut penyemprotan kata sandi)
2. , , , .
3. .
4. RDP .

Solusi yang baik adalah dengan menggunakan Remote Desktrop Gateway (RDG), sehingga Anda tidak membuka RDP. Yang benar adalah, jangan lupa bahwa pada awal tahun 2 kerentanan kritis ditemukan ( 2020-0609 dan CVE-2020-0610 ) dan Anda perlu memperbarui server Anda - namun, ini harus selalu dilakukan, dan tidak hanya ketika kerentanan kritis dirilis.

Solusi yang lebih baik lagi adalah menggunakan VPN + RDG, serta mengkonfigurasi 2FA untuk semua layanan. Dengan demikian, masalah dengan penghapusan RDG ke perimeter eksternal akan diselesaikan dan akses ke sana hanya melalui VPN, yang akan membuatnya lebih mudah untuk melacak siapa yang menghubungi RDG. Selain itu, menggunakan 2FA akan membantu mengatasi masalah kemungkinan kata sandi sederhana: dengan mengambil kata sandi, tetapi tanpa 2 faktor, penyerang masih tidak dapat terhubung ke VPN \ RDP.

Jangan lupa tentang pembaruan layanan VPN. Beberapa hari yang lalu, Cisco menerbitkan dalam laporannya bahwa ia menemukan beberapa vektor serangan baru dengan kerentanan CVE-2018-0101. Dan, meskipun pada saat penulisan artikel ini belum ada kode exploit publik, mengingat situasinya, ada baiknya memperbarui perangkat Anda.

Beberapa orang menggunakan sistem VDI untuk akses jarak jauh (misalnya, Citrix dan VMware) - masalah juga dapat muncul di sini. Dimulai dengan kemampuan untuk memilih kata sandi dan selanjutnya mendapatkan akses ke desktop / aplikasi, berakhir dengan serangan pada sistem yang tidak ditambal dan menginstal akun / kata sandi standar.

Jika penyerang mendapatkan akses di dalam VDI, maka apa yang disebut keluar dari mode aplikasi dapat berfungsi sebagai serangan: ketika pintasan keyboard tidak dikonfigurasi dengan benar, Anda dapat keluar dari aplikasi di OS dan kemudian menggunakan baris perintah untuk menyerang OS dan pengguna.

Tidak hanya sistem akses jarak jauh, tetapi juga aplikasi perusahaan lainnya dapat menyerang. Sebagai contoh, banyak sekarang membuka aplikasi OWA pada perimeter eksternal, di mana karyawan dapat menerima surat, membuka Jira untuk melacak tugas, lupa tentang kemungkinan serangan pada aplikasi ini.

Aplikasi web apa pun dapat diserang dan digunakan untuk serangan lebih lanjut. Jika memungkinkan, Anda harus memberi mereka akses melalui VPN atau setidaknya menerapkan langkah-langkah keamanan dasar, seperti menambal, memblokir beberapa pengaturan ulang kata sandi / permintaan kata sandi.

Penyerang dapat menyerang aplikasi sebagai berikut:

1. Mengeksploitasi kerentanan dalam layanan itu sendiri (misalnya, CVA-2019–11581 ditemukan di Jira tahun lalu, dan selama proyek Pentest kami berulang kali menemukan server yang rentan).
2. Cobalah untuk mengambil kata sandi atau akun.
3. Manfaatkan fakta bahwa sistem memiliki akun default yang diaktifkan, dan kata sandi dari mereka tidak diubah.

Tentu saja, karyawan adalah mata rantai yang rentan: mereka dapat diserang oleh phishing dan kemudian menggunakan perangkat mereka untuk menembus batas internal organisasi. Sekali lagi - jika antivirus paling mungkin berada di laptop kerja, maka dalam kasus perangkat pribadi tidak ada kepastian seperti itu - mereka mungkin terinfeksi.

Untuk alasan ini, ketika orang-orang bekerja dari rumah, perlu mengambil langkah-langkah tambahan untuk meningkatkan literasi mereka dalam masalah keamanan informasi - melakukan pelatihan tambahan melalui kursus atau webinar, melakukan pengiriman surat dengan peringatan dan memberi tahu tentang jenis-jenis phishing baru.

Sebagai contoh, berikut adalah instruksi kami untuk karyawan - cara bekerja dari jarak jauh dan tetap aman.