На фоне всеобщего карантина и перехода на удаленку некоторые коллеги по цеху начали усиленно набрасывать нагнетать – мол, вокруг уже куча хакнутых компаний. Я же хочу поговорить о том, что можно сделать в короткие сроки, чтобы взломать вас было куда сложнее.
Надеюсь, не открою завесу тайны, что RDP наружу – это плохо, даже если этот RDP ведет на hop-сервер в DMZ-сети – в этом случае злоумышленники могут проводить атаки на других пользователей hop-сервера и начать атаковать внутри DMZ. По нашему опыту, выйти из DMZ внутрь корпоративной сети не так уж сложно – стоит только получить пароль локального или доменного админа (а пароли очень часто используются одни и те же) и можно будет пройти глубже в корпоративную сеть.
Даже если у вас полностью обновленный сервер и вы думаете, что эксплойтов под RDP нет, все еще остается несколько потенциальных векторов атак:
- Подбор паролей (причем злоумышленники могут подбирать не пароли, а учетные записи к ним – так называемый password spraying)
- Злоумышленники могут попортить жизнь тем, что будут блокировать учетные записи, подбирая пароли множество раз, чем вызовут блокировку учеток.
- Дефолтные пароли администратора.
- Повторюсь про возможные атаки на сам RDP с помощью публичных эксплойтов.
Хорошим решением будет использовать Remote Desktrop Gateway (RDG), таким образом вы не открываете наружу RDP. Правда не стоит забывать, что в начале года были найдены 2 критичные уязвимости (2020-0609 и CVE-2020-0610) и необходимо обновить свои серверы – впрочем, делать это стоит всегда, а не только при выходе критичных уязвимостей.
Еще лучшим решением будет использовать VPN + RDG, а также настроить 2FA для всех сервисов. Таким образом будет решена проблема с выносом RDG во внешний периметр и доступ к нему будет только через VPN, что позволит проще отслеживать, кто обращается к RDG. Кроме того, использование 2FA поможет справиться с проблемой возможных простых паролей: подобрав пароль, но не имея 2 фактора, злоумышленник все равно не сможет подключиться к VPNRDP.
Не стоит забывать про обновления VPN-сервисов. Буквально на днях Cisco опубликовала в advisory, что найдено несколько новых векторов атак с уязвимостью CVE-2018-0101. И, хотя на момент написания статьи публичного кода эксплойта еще нет, учитывая ситуацию, стоит обновить ваши устройства.
Некоторые используют для удаленного доступа системы VDI (например, Citrix и VMware) – здесь тоже могут возникнуть проблемы. Начиная с возможности подбора паролей и дальнейшего получения доступа к рабочему столу/приложению, заканчивая атаками на незапатченные системы и установленные дефолтные учетки/пароли.
Если злоумышленник получил доступ внутрь VDI, то атакой здесь может служить так называемый выход из режима приложения: когда некорректно настроены сочетания клавиш, удается выйти из приложения в ОС, а дальше уже использовать командную строку для атак на ОС и пользователей.
Атаковать могут не только системы удаленного доступа, но и другие корпоративные приложения. Например, многие сейчас открывают на внешнем периметре приложения OWA, через которые сотрудники могут получать почту, открывают Jira для трекинга задач, забывая о возможных атаках на эти приложения.
Любые веб-приложения могут быть атакованы и использованы для дальнейших атак. Если это возможно, стоит давать к ним доступ через VPN или хотя бы применять базовые меры защиты, такие как патчинг, блокировка множественных запросов на сброс/подбор пароля.
Атаковать приложения злоумышленники могут следующим образом:
- Эксплуатировать уязвимости в самих сервисах (например, в Jira в прошлом году была найдена уязвимость CVE-2019–11581, и мы в ходе проектов по пентесту неоднократно находили уязвимые серверы).
- Пытаться подобрать пароли или учетные записи.
- Воспользоваться тем, что в системах включены учетные записи по умолчанию, а пароли от них не сменены.
Разумеется, уязвимым звеном являются сотрудники: их могут атаковать с помощью фишинга и дальше использовать их устройства для проникновения во внутренний периметр организации. Опять же – если на рабочих ноутбуках, скорее всего, стоят антивирусы, то в случае с персональными устройствами такой уверенности нет – они вполне могут быть заражены.
По этим причинам, когда люди работают из дома, необходимо предпринимать дополнительные меры по повышению их грамотности в вопросах ИБ – сделать дополнительное обучение через курсы или вебинары, делать рассылки с предупреждениями и рассказом о новых видах фишинга.
Для примера, вот наша инструкция для сотрудников – как работать удаленно и оставаться в безопасности.
Автор: Александр Колесов