Cinco vulnerabilidades perigosas para trabalho remoto

Imagem: Unsplash

Ao transferir funcionários para o modo remoto, os departamentos de TI cometem vários erros de segurança e fornecem a terceiros acesso à infraestrutura interna.

Para começar, listaremos as vulnerabilidades que devem ser rapidamente eliminadas em nossa infraestrutura, para que esses meses difíceis não se tornem "carne fácil" para operadores de vírus criptográficos ou grupos APT com orientação financeira.

1. Desde o final de fevereiro, o número de nós disponíveis usando o Remote Desktop Protocol (RDP) vem crescendo rapidamente. Nosso monitoramento mostra que, em média, 10% desses nós são vulneráveis ​​ao BlueKeep ( CVE-2019-0708 ).

O BlueKeep permite que você obtenha remotamente controle total sobre um computador com base nos sistemas operacionais Windows 7, Windows Server 2008 e Windows Server 2008 R2 (eles mudaram para o Windows 10 há muito tempo e podem ser seguros?). Para atacar, basta enviar uma solicitação RDP especial aos Serviços de Área de Trabalho Remota vulneráveis ​​(RDS), a autenticação não é necessária.

Quanto mais rápido o número de nós com o protocolo RDP aumenta, mais máquinas vulneráveis ​​estão entre eles (como regra). Por exemplo, nos Urais, o número de nós abertos aumentou 21% e em 17% dos sistemas há uma vulnerabilidade do BlueKeep. Em seguida, vêm a Sibéria (21% e 16%, respectivamente), Noroeste (19% e 13%), Sul (12% e 14%), Volga (8% e 18%), Extremo Oriente (5% e 14%) e Distritos federais centrais (4% e 11%).

Além de instalar patches, para eliminar a vulnerabilidade BlueKeep, bem como a CVE-2019-1181 / 1182 semelhante a ela, é necessário fornecer acesso remoto por meio de um gateway. Para conexões RDP, é RDG (Remote Desktop Gateway), para VPN - Gateway VPN. A conexão remota diretamente ao local de trabalho é contra-indicada.

2. Novas versões do Windows também têm vulnerabilidades que permitem que um invasor caminhe em uma rede estrangeira usando erros dos Serviços de Área de Trabalho Remota. Este é o CVE-2019-1181 / 1182 , nomeado por vários especialistas do BlueKeep-2. Recomendamos verificar e, se necessário, instalar novas correções, mesmo que o acesso remoto seja organizado pelo RDG na sua rede.

3. No ranking dos problemas de segurança mais perigosos, destacamos as vulnerabilidades no software Citrix ( CVE-2019-19781), identificado pelo especialista da Positive Technologies Mikhail Klyuchnikov e nomeado oficialmente Shitrix devido a atrasos nas atualizações e à presença de uma exploração. Um mês e meio após a publicação dos primeiros detalhes, a vulnerabilidade estava presente em cerca de 16 mil empresas. O erro é extremamente perigoso e permite que você penetre na rede local da Internet. É utilizado, em particular, pelos operadores de vírus ransomware Ragnarok e REvil / Sodinokibi .

4. Não se esqueça da vulnerabilidade mais antiga no protocolo de área de trabalho remota CVE-2012-0002 (MS11-065), que ainda é encontrado nos perímetros da rede. Essa falha descoberta em 2012 foi lembrada por vazar código PoC de um dos parceiros da Microsoft no MAAP e alegaçõessupostamente um funcionário da GRU na tentativa de comprar uma exploração para ela.

5. Finalmente, vale a pena prestar atenção ao erro no mecanismo de desserialização da linguagem de programação PHP 7 ( CVE-2019-11043 ). Também permite que um usuário não autorizado execute código arbitrário. Servidores em risco nginx com o FPM ativado (um pacote para processar scripts na linguagem PHP). A falha fez com que os usuários de armazenamento em nuvem NextCloud fossem infectados com o NextCry.

O sistema de gerenciamento centralizado para atualizações e patches ajudará a automatizar o processo de aplicação de patches nos sistemas corporativos, e as ferramentas de análise de segurança ajudarão a verificar se não há vulnerabilidades .

Instalar atualizações no PC dos funcionários

É impossível não lembrar que, em muitos PCs domésticos nos quais os funcionários do escritório se mudaram, eles recentemente apagaram a poeira e são um problema em termos de segurança da informação. Em um mundo ideal, é melhor não fornecer acesso a computadores pessoais, mas destacar sistemas corporativos comprovados e preparados. Mas agora os laptops podem não ser suficientes para todos . Portanto, é necessário organizar um processo em larga escala de atualização de PCs domésticos remotamente para que eles não se tornem um ponto de entrada para atacantes.

Antes de tudo, é importante atualizar os sistemas operacionais, produtos de escritório e software antivírus. Além disso, você precisa alertar os funcionários sobre os perigos do uso de navegadores desatualizados, como as versões não suportadas do Internet Explorer. Antes de atualizar os computadores domésticos, você deve criar um ponto de recuperação ou fazer um backup do sistema para reverter em caso de problemas, como outra falha na atualização do Windows 10 .

Em relação à política de senhas, recomendamos que você use senhas de pelo menos 12 caracteres para contas sem privilégios e de pelo menos 15 caracteres para contas administrativas ao se conectar remotamente. Use diferentes tipos de caracteres ao mesmo tempo (letras maiúsculas e minúsculas, caracteres especiais, números) e exclua senhas fáceis de adivinhar. De acordo com nossos dados, em 2019, 48% de todas as senhas selecionadas foram compostas por uma palavra que indica a hora do ano ou mês e quatro dígitos, indicando o ano (setembro de2019 ou no layout de teclado inglês Ctynz, hm2019). Essas senhas correspondem formalmente à política de senhas, mas são selecionadas de acordo com os dicionários em questão de minutos.

Em geral, o salto nas ferramentas de controle remoto é prejudicial nas condições atuais: nosso conselho é escolher um programa e diferenciar os direitos dos usuários locais. Será correto se em alguns computadores remotos usando, por exemplo, o Windows AppLocker, forem registradas listas de software permitido.

Também deve ser dito sobre os possíveis problemas associados à organização do acesso à VPN. Os especialistas em TI podem não ter tempo para reconfigurar o equipamento em pouco tempo e fornecer a todos os usuários da VPN o acesso necessário, sem violar as regras de demarcação. Como resultado, para garantir a continuidade dos negócios, os profissionais de TI terão que escolher a opção mais rápida e fácil - para abrir o acesso à sub-rede necessária, não apenas a um funcionário, mas a todos os usuários da VPN ao mesmo tempo. Essa abordagem reduz significativamente a segurança e abre oportunidades não apenas para ataques de um invasor externo (se ele conseguir penetrar), mas também aumenta significativamente o risco de um ataque por alguém interno. Recomendamos que você planeje um plano de ação com antecedência para preservar a segmentação da rede e alocar o número necessário de pools de VPN.

A engenharia social já faz pleno uso das histórias de coronavírus e recomendamos que você familiarize os funcionários com novos tópicos de ataques de phishing. Grupos do APT, como Gamaredon e Higaisa, exploram histórias relacionadas a transferências, proibições, cancelamentos, trabalho remoto e atacam os endereços de email pessoais dos funcionários. Uma correspondência de phishing foi realizada por atacantes desconhecidos para a nossa empresa: os criminosos tentaram roubar credenciais. Os funcionários devem entender a gravidade da ameaça e estar preparados para distinguir mensagens legítimas de phishing. Para isso, recomendamos a distribuição de breves materiais visuais de treinamento e memorandos sobre segurança da informação e engenharia social. O phishing dinâmico de arquivos no correio corporativo usando caixas de areia ajudará a identificar os sintomas de phishing.

Também é necessário prestar atenção aos sistemas de gerenciamento eletrônico de documentos e ERP. Atualmente, os aplicativos de negócios que antes eram acessíveis apenas de dentro e não eram analisados ​​quanto a vulnerabilidades estão sendo disponibilizados publicamente. Ao mesmo tempo, o nível de segurança dos analisados foi baixo . Para se proteger contra a exploração de ameaças baseadas na Web a aplicativos de missão crítica, recomendamos o uso de firewalls, camada de aplicativo (firewall de aplicativo da Web).

A acessibilidade e a disponibilidade nessas semanas têm um papel fundamental e muitas empresas não terão tempo para eliminar vulnerabilidades no perímetro e ajustar os processos de SI, portanto, em alguns casos, será necessário focar na identificação de violadores que já caíram na infraestrutura. Nesses casos, eles podem se aplicar.sistemas de análise de tráfego de rede profunda (NTA) projetados para detectar ataques direcionados (em tempo real e em cópias salvas de tráfego) e reduzir o tempo da presença secreta de invasores.