👓 👺 🛶 五个漏洞对远程工作很危险 📗 🤹🏼 🐔

图片：Unsplash

当转移人员到远程模式，IT部门做各种安全性错误，并提供与外部访问内部的基础设施。

首先，我们将列出应在基础架构中迅速消除的漏洞，以使这些困难的月份不会成为加密病毒运营商或财务上专用的APT组的“轻松之门”。

1.自2月底以来，使用远程桌面协议（RDP）的可用节点数量一直在迅速增长。我们的监控显示，平均有10％的此类节点易受BlueKeep（CVE-2019-0708）的攻击。

BlueKeep允许您基于Windows 7，Windows Server 2008和Windows Server 2008 R2操作系统（在很早以前就已切换到Windows 10并可以安全吗？）上远程获得对计算机的完全控制权。要进行攻击，只需将特殊的RDP请求发送到易受攻击的远程桌面服务（RDS），就不需要身份验证。

使用RDP协议的节点数量增长得越快，其中的机器越容易受到攻击（通常）。例如，在乌拉尔（Urals），开放节点的数量增加了21％，并且在17％的系统中存在BlueKeep漏洞。接下来是西伯利亚（分别为21％和16％），西北（19％和13％），南部（12％和14％），伏尔加河（8％和18％），远东（5％和14％）和中部（4％和11％）联邦地区。

除了安装修补程序之外，要消除BlueKeep漏洞以及与之类似的CVE-2019-1181 / 1182，还必须通过网关提供远程访问。对于RDP连接，这是用于VPN的远程桌面网关（RDG）-VPN网关。禁止直接连接到工作场所。

2. Windows的新版本还具有漏洞，攻击者可以使用远程桌面服务错误在外部网络上行走。这是CVE-2019-1181 / 1182，由许多BlueKeep-2专家命名。我们建议您检查并在必要时安装新补丁，即使RDG在您的网络上组织了远程访问也是如此。

3.在最危险的安全问题排名中，我们对Citrix软件中的漏洞（CVE-2019-19781），由于技术更新的延迟和漏洞利用，由Positive Technologies的专家Mikhail Klyuchnikov确定，并非正式地命名为Shitrix。在第一个细节发布后一个半月，大约有1.6万家公司存在漏洞。该错误非常危险，它使您可以从Internet渗透到本地网络。勒索软件病毒运营商Ragnarok和REvil / Sodinokibi特别使用它。

4.我们不应忘记远程桌面协议CVE-2012-0002（MS11-065）中的较旧漏洞，该漏洞仍在网络外围发现。记得2012年发现的此漏洞是由于泄漏了Microsoft的一个合作伙伴在MAAP中的PoC代码和指控据称是GRU的一名雇员，试图为她购买漏洞利用程序。

5.最后，值得注意的是编程语言PHP 7（CVE-2019-11043）的反序列化机制中的错误。它还允许未经授权的用户执行任意代码。启用了FPM（用于处理PHP语言脚本的软件包）的nginx服务器面临风险。该漏洞导致NextCloud云存储用户感染了NextCry。

用于更新和修补程序的集中式管理系统将帮助自动化修补公司系统的过程，而安全分析工具将帮助验证是否没有漏洞。

在员工PC上安装更新

不能不回想起，从办公室职员移动过的许多家用PC上，他们刚刚清除了灰尘，从信息安全的角度来看，这是一个问题。在理想的世界中，最好不要提供对个人计算机的访问权限，而要突出显示经过验证和准备好的公司系统。但是现在笔记本电脑可能并不适合每个人。因此，有必要组织一个大规模的远程更新家用PC的过程，以使它们不会成为攻击者的切入点。

首先，重要的是更新操作系统，办公产品和防病毒软件。此外，您需要警告员工有关使用过时的浏览器（例如不受支持的Internet Explorer版本）的危险。在更新家用计算机之前，您应该创建一个恢复点或对系统进行备份，以在出现任何问题（例如另一个Windows 10更新失败）时回滚。

关于密码策略，我们建议您在远程连接时对非特权帐户使用至少12个字符的密码，对于管理帐户至少使用15个字符的密码。同时使用不同类型的字符（小写和大写字母，特殊字符，数字），并排除容易猜到的密码。根据我们的数据，在2019年，所有选定密码中的48％由表示年份或月份的单词和表示年份的四位数字组成（2019年9月或英语键盘布局Ctynz，hm2019）。此类密码在形式上与密码策略相对应，但仅需几分钟即可根据词典进行选择。

通常，在当前情况下，远程控制工具的跨越是有害的：我们的建议是选择一个程序并区分本地用户的权利。如果在某些使用Windows AppLocker的远程计算机上注册了允许的软件列表，那将是正确的。

还应该说与组织VPN访问相关的可能问题。 IT专家可能没有时间在短时间内重新配置设备，并为所有VPN用户提供他们所需的访问权限，而又不会违反划分规则。因此，为了确保业务连续性，IT专家将不得不选择最快，最简单的选项-不仅对一名员工，而且一次对所有VPN用户开放对所需子网的访问。这种方法大大降低了安全性，不仅为外部攻击者（如果他可以穿透）进行攻击提供了机会，而且还大大增加了内部人员攻击的风险。我们建议您事先考虑一项行动计划，以保留网络分段并分配所需数量的VPN池。

社会工程学已经充分利用了冠状病毒的故事，我们建议您使员工熟悉网络钓鱼攻击的新主题。 APT团体（例如Gamaredon和Higaisa）利用与调动，禁令，取消，远程工作有关的故事，并攻击员工的个人电子邮件地址。未知攻击者向我们公司发送了网络钓鱼邮件：犯罪分子试图窃取凭据。员工必须了解威胁的严重性，并准备好区分合法邮件和网络钓鱼。为此，我们建议分发有关信息安全和社会工程的简短视觉培训材料和备忘录。使用沙箱对公司邮件中的文件进行动态网络钓鱼将有助于识别网络钓鱼的症状。

还必须注意电子文档管理系统和ERP。如今，以前只能从内部访问且未经分析漏洞的业务应用程序正在积极地公开提供。同时，那些被分析者的安全级别很低。为了防止对任务关键型应用程序利用基于Web的威胁，我们建议使用应用程序层防火墙（Web应用程序防火墙）。

这几周的可访问性和可用性起着关键作用，许多公司没有时间消除外围漏洞并微调IS流程，因此在某些情况下，有必要将重点放在确定已经落入基础架构中的违规者。在这种情况下，它们可能适用。深度网络流量分析（NTA）系统，旨在检测目标攻击（实时并以已保存的流量副本），并减少隐蔽攻击者的时间。

五个漏洞对远程工作很危险

在员工PC上安装更新

More articles: