Записки пентестера: карантин, удаленные сотрудники и как с этим жить

Записки пентестера: карантин, удаленные сотрудники и как с этим жить


На фоне всеобщего карантина и перехода на удаленку некоторые коллеги по цеху начали усиленно набрасывать нагнетать – мол, вокруг уже куча хакнутых компаний. Я же хочу поговорить о том, что можно сделать в короткие сроки, чтобы взломать вас было куда сложнее.

Надеюсь, не открою завесу тайны, что RDP наружу – это плохо, даже если этот RDP ведет на hop-сервер в DMZ-сети – в этом случае злоумышленники могут проводить атаки на других пользователей hop-сервера и начать атаковать внутри DMZ. По нашему опыту, выйти из DMZ внутрь корпоративной сети не так уж сложно – стоит только получить пароль локального или доменного админа (а пароли очень часто используются одни и те же) и можно будет пройти глубже в корпоративную сеть.

Даже если у вас полностью обновленный сервер и вы думаете, что эксплойтов под RDP нет, все еще остается несколько потенциальных векторов атак:

1. Подбор паролей (причем злоумышленники могут подбирать не пароли, а учетные записи к ним – так называемый password spraying)
2. Злоумышленники могут попортить жизнь тем, что будут блокировать учетные записи, подбирая пароли множество раз, чем вызовут блокировку учеток.
3. Дефолтные пароли администратора.
4. Повторюсь про возможные атаки на сам RDP с помощью публичных эксплойтов.

Хорошим решением будет использовать Remote Desktrop Gateway (RDG), таким образом вы не открываете наружу RDP. Правда не стоит забывать, что в начале года были найдены 2 критичные уязвимости ( 2020-0609 и CVE-2020-0610 ) и необходимо обновить свои серверы – впрочем, делать это стоит всегда, а не только при выходе критичных уязвимостей.

Еще лучшим решением будет использовать VPN + RDG, а также настроить 2FA для всех сервисов. Таким образом будет решена проблема с выносом RDG во внешний периметр и доступ к нему будет только через VPN, что позволит проще отслеживать, кто обращается к RDG. Кроме того, использование 2FA поможет справиться с проблемой возможных простых паролей: подобрав пароль, но не имея 2 фактора, злоумышленник все равно не сможет подключиться к VPNRDP.

Не стоит забывать про обновления VPN-сервисов. Буквально на днях Cisco опубликовала в advisory, что найдено несколько новых векторов атак с уязвимостью CVE-2018-0101. И, хотя на момент написания статьи публичного кода эксплойта еще нет, учитывая ситуацию, стоит обновить ваши устройства.

Некоторые используют для удаленного доступа системы VDI (например, Citrix и VMware) – здесь тоже могут возникнуть проблемы. Начиная с возможности подбора паролей и дальнейшего получения доступа к рабочему столу/приложению, заканчивая атаками на незапатченные системы и установленные дефолтные учетки/пароли.

Если злоумышленник получил доступ внутрь VDI, то атакой здесь может служить так называемый выход из режима приложения: когда некорректно настроены сочетания клавиш, удается выйти из приложения в ОС, а дальше уже использовать командную строку для атак на ОС и пользователей.

Атаковать могут не только системы удаленного доступа, но и другие корпоративные приложения. Например, многие сейчас открывают на внешнем периметре приложения OWA, через которые сотрудники могут получать почту, открывают Jira для трекинга задач, забывая о возможных атаках на эти приложения.

Любые веб-приложения могут быть атакованы и использованы для дальнейших атак. Если это возможно, стоит давать к ним доступ через VPN или хотя бы применять базовые меры защиты, такие как патчинг, блокировка множественных запросов на сброс/подбор пароля.

Атаковать приложения злоумышленники могут следующим образом:

1. Эксплуатировать уязвимости в самих сервисах (например, в Jira в прошлом году была найдена уязвимость CVE-2019–11581, и мы в ходе проектов по пентесту неоднократно находили уязвимые серверы).
2. Пытаться подобрать пароли или учетные записи.
3. Воспользоваться тем, что в системах включены учетные записи по умолчанию, а пароли от них не сменены.

Разумеется, уязвимым звеном являются сотрудники: их могут атаковать с помощью фишинга и дальше использовать их устройства для проникновения во внутренний периметр организации. Опять же – если на рабочих ноутбуках, скорее всего, стоят антивирусы, то в случае с персональными устройствами такой уверенности нет – они вполне могут быть заражены.

По этим причинам, когда люди работают из дома, необходимо предпринимать дополнительные меры по повышению их грамотности в вопросах ИБ – сделать дополнительное обучение через курсы или вебинары, делать рассылки с предупреждениями и рассказом о новых видах фишинга.

Для примера, вот наша инструкция для сотрудников – как работать удаленно и оставаться в безопасности.
Alt text