- PVSM.RU - https://www.pvsm.ru -

На фоне всеобщего карантина и перехода на удаленку некоторые коллеги по цеху начали усиленно набрасывать нагнетать – мол, вокруг уже куча хакнутых компаний. Я же хочу поговорить о том, что можно сделать в короткие сроки, чтобы взломать вас было куда сложнее.
Надеюсь, не открою завесу тайны, что RDP наружу – это плохо, даже если этот RDP ведет на hop-сервер в DMZ-сети – в этом случае злоумышленники могут проводить атаки на других пользователей hop-сервера и начать атаковать внутри DMZ. По нашему опыту, выйти из DMZ внутрь корпоративной сети не так уж сложно – стоит только получить пароль локального или доменного админа (а пароли очень часто используются одни и те же) и можно будет пройти глубже в корпоративную сеть.
Даже если у вас полностью обновленный сервер и вы думаете, что эксплойтов под RDP нет, все еще остается несколько потенциальных векторов атак:
Хорошим решением будет использовать Remote Desktrop Gateway (RDG), таким образом вы не открываете наружу RDP. Правда не стоит забывать, что в начале года были найдены 2 критичные уязвимости (2020-0609 [1] и CVE-2020-0610 [2]) и необходимо обновить свои серверы – впрочем, делать это стоит всегда, а не только при выходе критичных уязвимостей.
Еще лучшим решением будет использовать VPN + RDG, а также настроить 2FA для всех сервисов. Таким образом будет решена проблема с выносом RDG во внешний периметр и доступ к нему будет только через VPN, что позволит проще отслеживать, кто обращается к RDG. Кроме того, использование 2FA поможет справиться с проблемой возможных простых паролей: подобрав пароль, но не имея 2 фактора, злоумышленник все равно не сможет подключиться к VPNRDP.
Не стоит забывать про обновления VPN-сервисов. Буквально на днях Cisco опубликовала в advisory, что найдено несколько новых векторов атак с уязвимостью CVE-2018-0101. И, хотя на момент написания статьи публичного кода эксплойта еще нет, учитывая ситуацию, стоит обновить ваши устройства.
Некоторые используют для удаленного доступа системы VDI (например, Citrix и VMware) – здесь тоже могут возникнуть проблемы. Начиная с возможности подбора паролей и дальнейшего получения доступа к рабочему столу/приложению, заканчивая атаками на незапатченные системы и установленные дефолтные учетки/пароли.
Если злоумышленник получил доступ внутрь VDI, то атакой здесь может служить так называемый выход из режима приложения: когда некорректно настроены сочетания клавиш, удается выйти из приложения в ОС, а дальше уже использовать командную строку для атак на ОС и пользователей.
Атаковать могут не только системы удаленного доступа, но и другие корпоративные приложения. Например, многие сейчас открывают на внешнем периметре приложения OWA, через которые сотрудники могут получать почту, открывают Jira для трекинга задач, забывая о возможных атаках на эти приложения.
Любые веб-приложения могут быть атакованы и использованы для дальнейших атак. Если это возможно, стоит давать к ним доступ через VPN или хотя бы применять базовые меры защиты, такие как патчинг, блокировка множественных запросов на сброс/подбор пароля.
Атаковать приложения злоумышленники могут следующим образом:
Разумеется, уязвимым звеном являются сотрудники: их могут атаковать с помощью фишинга и дальше использовать их устройства для проникновения во внутренний периметр организации. Опять же – если на рабочих ноутбуках, скорее всего, стоят антивирусы, то в случае с персональными устройствами такой уверенности нет – они вполне могут быть заражены.
По этим причинам, когда люди работают из дома, необходимо предпринимать дополнительные меры по повышению их грамотности в вопросах ИБ – сделать дополнительное обучение через курсы или вебинары, делать рассылки с предупреждениями и рассказом о новых видах фишинга.
Для примера, вот наша инструкция для сотрудников – как работать удаленно и оставаться в безопасности. [3]
Автор: Александр Колесов
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/vpn/351659
Ссылки в тексте:
[1] 2020-0609: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609
[2] CVE-2020-0610: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610
[3] как работать удаленно и оставаться в безопасности. : https://naudalenke.rt-solar.ru/
[4] Источник: https://habr.com/ru/post/495064/?utm_source=habrahabr&utm_medium=rss&utm_campaign=495064
Нажмите здесь для печати.