Пять уязвимостей, опасных для удаленной работы

Пять уязвимостей, опасных для удаленной работы


Изображение: Unsplash

При переводе сотрудников на дистанционный режим IT-подразделения допускают различные ошибки безопасности и открывают доступ к внутренней инфраструктуре для посторонних.

Для начала перечислим уязвимости, которые лучше побыстрей устранить в своей инфраструктуре, чтобы в эти тяжелые месяцы не стать «easy meat» для операторов вирусов-шифровальщиками или финансово-ориентированных APT-группировок.

1. С конца февраля быстро растет количество доступных узлов по протоколу удаленного рабочего стола (RDP). Наш мониторинг показывает, что в среднем 10% таких узлов уязвимы к BlueKeep ( CVE-2019-0708 ).

BlueKeep позволяет удаленно получить полный контроль над компьютером на базе операционных систем Windows 7, Windows Server 2008 и Windows Server 2008 R2 (все же давно перешли на Windows 10 и могут не опасаться?). Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS), аутентификации при этом не требуется.

Чем быстрее растет количество узлов с RDP-протоколом, тем больше среди них уязвимых машин (как правило). Например, на Урале число открытых узлов увеличилось на 21%, и в 17% систем есть уязвимость BlueKeep. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Южный (12% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный (4% и 11%) федеральные округа.

Помимо установки патчей, для устранения уязвимости BlueKeep, а также схожих с ней CVE-2019-1181/1182 необходимо обеспечить удаленный доступ через шлюз. Для RDP подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать противопоказано.

2. Новые версии Windows тоже имеют уязвимости, которые позволят злоумышленнику прогуляться по чужой сети, используя ошибки служб удаленных рабочих столов. Это CVE-2019-1181/1182 , названные рядом экспертов BlueKeep-2. Рекомендуем проверить и при необходимости установить свежие патчи, даже если в вашей сети удаленный доступ организован средствами RDG.

3. Бронзу в рейтинге самых опасных проблем безопасности мы отдаем уязвимости в ПО Citrix ( CVE-2019-19781 ), выявленной экспертом Positive Technologies Михаилом Ключниковым и неофициально получившей имя Shitrix из-за задержек с обновлениями и наличия эксплойта. Спустя полтора месяца после публикации первых деталей уязвимость присутствовала примерно у 16 тысяч компаний. Ошибка крайне опасна и позволяет проникнуть в локальную сеть из интернета. Ее используют, в частности, операторы вирусов-вымогателей Ragnarok и REvil/Sodinokibi .

4. Не следует забывать и о более старой уязвимости в протоколе удаленного рабочего стола CVE-2012-0002 (MS11-065), которая до сих пор встречается на сетевых периметрах. Эта брешь, обнаруженная в 2012 году, запомнилась утечкой PoC-кода со стороны кого-то из партнеров Microsoft по MAAP и обвинениями якобы сотрудника ГРУ в попытке купить для нее эксплойт.

5. Наконец, стоит обратить внимание на ошибку в механизме десериализации языка программирования PHP 7 ( CVE-2019-11043 ). Она также позволяет неавторизованному пользователю выполнять произвольный код. Под угрозой серверы nginx с включенным FPM (пакет для обработки сценариев на языке PHP). Брешь стала причиной заражения пользователей облачного хранилища NextCloud шифровальщиком NextCry.

Автоматизировать процесс патчинга корпоративных систем помогут системы централизованного управления обновлениями и патчами, а проверить, что уязвимости отсутствуют, позволят средства анализа защищенности .

Установите обновления на ПК сотрудников


Нельзя не напомнить, что со многих домашних ПК, на которые пересели офисные сотрудники, только недавно стерли пыль, и они являются проблемой с точки зрения ИБ. В идеальном мире лучше не предоставлять доступ для личных компьютеров, а выделять проверенные и подготовленные корпоративные системы. Но сейчас ноутбуков н а всех может не хватить . Поэтому необходимо директивно организовать масштабный процесс обновлений домашних ПК для удаленной работы, чтобы они не стали точкой входа для злоумышленников.

В первую очередь, важно обновить операционные системы, офисные продукты и антивирусное ПО. Кроме того, надо предупредить сотрудников об опасности использования устаревших браузеров, таких как неподдерживаемые версии Internet Explorer. Перед обновлениями домашних компьютеров стоит создать точку восстановления или сделать резервную копию системы, чтобы откатиться в случае любых проблем, например очередного неудачного обновления Windows 10 .

В отношении парольной политики рекомендуем при удаленном подключении использовать пароли длиной не менее 12 символов для непривилегированных учетных записей и не менее 15 символов для административных. Используйте одновременно разные типы символов (малые и заглавные буквы, спецсимволы, цифры) и исключите легко угадываемые пароли. По нашим данным , в 2019 году 48% всех подобранных паролей были составлены из комбинации слова, обозначающего время года либо месяц, и четырех цифр, обозначающих год (Сентябрь2019 или в английской раскладке клавиатуры Ctynz,hm2019). Такие пароли формально соответствуют парольной политике, но подбираются по словарям за считанные минуты.

В целом, чехарда в средствах удаленного управления в нынешних условиях вредна: наш совет — выбрать одну программу и разграничить права локальных пользователей. Будет правильно, если на некоторых удаленных компьютерах с помощью, например, Windows AppLocker пропишут списки разрешенного ПО.

Следует также сказать о возможных проблемах, связанных с организацией VPN-доступа. IT-специалисты могут не успеть в короткие сроки перенастроить оборудование и обеспечить всех пользователей VPN необходимым именно им доступом, не нарушая правила разграничения. В результате для обеспечения непрерывности бизнеса IT-специалистам придется выбрать наиболее быстрый и простой вариант — открыть доступ в требуемую подсеть не одному сотруднику, а сразу всем пользователям VPN. Такой подход существенно снижает безопасность и открывает возможности не только для атак внешнего злоумышленника (если он сможет проникнуть), но и существенно повышает риск атаки со стороны инсайдера. Рекомендуем заранее продумать план действий для сохранения сегментации сетей и выделить необходимое число VPN-пулов.

Социальная инженерия уже вовсю использует коронавирусные сюжеты, и мы рекомендуем ознакомить сотрудников с новыми темами фишинговых атак. APT-группировки, такие как Gamaredon и Higaisa, эксплуатируют истории, связанные с переносами, запретами, отменами, удаленной работой атакуют личные электронные адреса сотрудников. Фишинговая рассылка была проведена неизвестными злоумышленниками и в адрес нашей компании: преступники пытались украсть учетные данные. Сотрудники должны понимать серьезность угрозы и быть готовыми отличить легитимную почту от фишинга. Для этого мы рекомендуем распространить краткие наглядные обучающие материалы и памятки на тему информационной безопасности и социальной инженерии. Выявить признаки фишинга поможет динамическая проверка файлов в корпоративной почте с помощью песочниц.

Необходимо также обратить внимание на системы электронного документооборота и ERP. Сейчас активно выводятся в открытый доступ бизнес-приложения, которые ранее были доступны только изнутри и не анализировались на предмет уязвимостей. При этом уровень защищенности тех, что анализировались, был невысок . Для защиты от эксплуатации веб-угроз в критически-важных приложениях рекомендуем использовать межсетевые экраны уровня приложений (web application firewall).

Доступность и работоспособность в эти недели занимает ключевую роль, и многим компаниям будет не до устранения уязвимостей на периметре и тонкого тюнинга процессов ИБ, поэтому в некоторых случаях придется ориентироваться на выявление нарушителей, уже попавших в инфраструктуру. В таких случаях могут применяться системы глубокого анализа сетевого трафика (NTA), предназначенные для обнаружения целевых атак (в реальном времени и в сохраненных копиях трафика) и уменьшения времени скрытного присутствия атакующих.
Alt text