Notas do Pentester: quarentena, funcionários remotos e como conviver com ela

Contra o pano de fundo da quarentena universal e mudar para udalenku, alguns de nossos colegas começaram a lançar vigorosamente - digamos, cerca de um monte de empresas hackeadas. Eu quero falar sobre o que pode ser feito em pouco tempo, quebrar você foi muito mais difícil.

Espero não abrir o véu de segredo de que o RDP para o exterior é ruim, mesmo que esse RDP leve a um servidor de salto em uma rede DMZ - nesse caso, os invasores podem atacar outros usuários do servidor de salto e começar a atacar dentro da DMZ. Em nossa experiência, sair da DMZ na rede corporativa não é tão difícil - basta obter a senha de um administrador local ou de domínio (e as senhas costumam ser usadas da mesma forma) e você pode aprofundar-se na rede corporativa.

Mesmo se você tiver um servidor completamente atualizado e achar que não há explorações para o RDP, ainda existem vários vetores de ataque em potencial:

1. Seleção de senha (além disso, os invasores não podem selecionar senhas, mas são responsáveis ​​por elas - a chamada pulverização de senha)
2. , , , .
3. .
4. RDP .

Uma boa solução seria usar o RDG (Remote Desktrop Gateway), para que você não abra o RDP. É verdade que não se esqueça de que no início do ano foram encontradas 2 vulnerabilidades críticas ( 2020-0609 e CVE-2020-0610 ) e você precisa atualizar seus servidores - no entanto, isso sempre vale a pena, e não apenas quando as vulnerabilidades críticas são liberadas.

Uma solução ainda melhor seria usar VPN + RDG e configurar 2FA para todos os serviços. Assim, o problema com a remoção do RDG para o perímetro externo será resolvido e o acesso a ele será somente através da VPN, o que facilitará o rastreamento de quem está entrando em contato com o RDG. Além disso, o uso do 2FA ajudará a lidar com o problema de possíveis senhas simples: escolhendo uma senha, mas sem dois fatores, o invasor ainda não poderá se conectar ao VPN \ RDP.

Não se esqueça das atualizações do serviço VPN. Outro dia, a Cisco publicou no comunicado que encontrou vários novos vetores de ataque com a vulnerabilidade CVE-2018-0101. E, embora no momento da redação do artigo ainda não exista um código de exploração pública, dada a situação, vale a pena atualizar seus dispositivos.

Algumas pessoas usam sistemas VDI para acesso remoto (por exemplo, Citrix e VMware) - também pode haver problemas. Começando com a capacidade de selecionar senhas e obter ainda mais acesso ao desktop / aplicativo, terminando com ataques a sistemas não corrigidos e instalando contas / senhas padrão.

Se um invasor obteve acesso dentro da VDI, a chamada saída do modo de aplicativo pode servir como ataque: quando os atalhos do teclado estão configurados incorretamente, você pode sair do aplicativo no sistema operacional e usar a linha de comando para atacar o sistema operacional e os usuários.

Não apenas os sistemas de acesso remoto, mas também outros aplicativos corporativos podem atacar. Por exemplo, muitos agora abrem aplicativos OWA no perímetro externo, através dos quais os funcionários podem receber correio, abrem o Jira para rastrear tarefas, esquecendo-se de possíveis ataques a esses aplicativos.

Qualquer aplicativo da web pode ser atacado e usado para novos ataques. Se possível, você deve dar acesso a eles por meio de uma VPN ou pelo menos aplicar medidas básicas de segurança, como aplicar patches, bloquear várias solicitações de redefinição / senha de senha.

Os invasores podem atacar aplicativos da seguinte maneira:

1. Explorar vulnerabilidades nos próprios serviços (por exemplo, o CVE-2019-11581 foi encontrado em Jira no ano passado e, durante os projetos do Pentest, encontramos repetidamente servidores vulneráveis).
2. Tente pegar senhas ou contas.
3. Aproveite o fato de os sistemas terem contas padrão ativadas e as senhas delas não serem alteradas.

Obviamente, os funcionários são um elo vulnerável: eles podem ser atacados por phishing e depois usar seus dispositivos para penetrar no perímetro interno da organização. Novamente - se é mais provável que os antivírus estejam nos laptops de trabalho, no caso de dispositivos pessoais, não há essa certeza - eles podem estar infectados.

Por esses motivos, quando as pessoas trabalham em casa, é necessário tomar medidas adicionais para aumentar a alfabetização em questões de segurança da informação - fazer treinamento adicional por meio de cursos ou webinars, enviar correspondências com avisos e falar sobre novos tipos de phishing.

Por exemplo, aqui está nossa instrução para os funcionários - como trabalhar remotamente e permanecer em segurança.