В связи с каратинными мерами, вызванными пандемией коронавируса, в мире резко выросло число сетевых узлов, доступных по протоколу удаленного рабочего стола (RDP). И хотя удаленная работа — это современный и набирающий силу тренд, нужно учитывать, что значительно число (около 10%) таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows.

Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS). Аутентификации при этом не требуется. В случае успеха злоумышленник сможет устанавливать и удалять программы в скомпрометированной системе, создавать учетные записи с максимальным уровнем доступа, читать и редактировать конфиденциальную информацию. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.

Поспешный перевод части сотрудников на удаленную работу, без обеспечения надлежащих мер безопасности, позволяет злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. Независимо от выбранного типа удаленного подключения разумно обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется.

Эксперты Positive Technologies предупреждают, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому IT-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов.

Отдельно в компании подчеркивают угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота). Службам ИБ рекомендуется строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (например, по артефактам в трафике с помощью NTA-решений). Также в условиях изменения традиционной модели поведения сотрудников организации (массового удаленного доступа) необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак.

Помимо этого, Positive Technologies рекомендует обратить внимание на критически опасную уязвимость (CVE-2019-19781) в программном обеспечении Citrix, которое используется в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. В случае эксплуатации этой уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

Кроме того, к числу уязвимостей, требующих особого внимания в условиях увеличившегося числа открытых удаленных доступов, относятся уязвимость в протоколе рабочего стола CVE-2012-0002 (MS11-065) восьмилетней давности, которая до сих пор встречается на сетевых периметрах организаций, и уязвимости служб удаленного рабочего стола CVE-2019-1181/1182 в различных версиях операционной системы Microsoft (включая Windows 10). Следует устранить и уязвимость в PHP 7 (CVE-2019-11043), которая, по оценке Positive Technologies, вошла в список наиболее опасных по итогам 2019 года. Факт наличия перечисленных уязвимостей в инфраструктуре компании может быть оперативно выявлен посредством сканеров уязвимостей. Для устранения их во всех случаях необходимо по меньшей мере выполнить соответствующие рекомендации производителя уязвимой версии ПО или оборудования.