Digital Security предупреждает о новом виде атак на корпоративные системы

Digital Security предупреждает о новом виде атак на корпоративные системы

По итогам выступлений на BlackHat USA 2012 и RSA China 2012Александр Поляков, технический директор Digital Security, представил обзор новой угрозы для критичных бизнес-приложений – SSRF (Server Side Request Forgery). «Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные.

Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний, - рассказывает Поляков. – SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах».

По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение, передает safe.cnews.ru.

SSRF, несомненно, представляет собой новую опасную угрозу критичным бизнес-приложениям, отмечает Поляков. Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени, говорит технический директор Digital Security. После презентации Digital Security на BlackHat USA в Сети уже успели появиться первые инструменты для проведения SSRF-атак, например, для проксирования любых запросов через уязвимый сервис.

Область применения атак, связанных с SSRF и туннелированием внешних сущностей XML, гораздо шире, чем может казаться сейчас, так как на BlackHat были представлены лишь несколько примеров ее использования, в основном для атак на SAP. В будущем наверняка появятся и другие способы применения SSRF, утверждает Александр Поляков.

Критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.

Как Digital Security предупреждали еще несколько лет назад, количество атак на уязвимости кастомизированных приложений, таких как ERP-системы, программное обеспечение для банковского обслуживания, сервисные шины, CRM-системы, корпоративные порталы и т.д., сильно возросло в последнее время. Например, SAP в 2001–2006 г. закрыла около сотни уязвимостей в своих продуктах, а с 2007 по 2012 г.– уже более двух тысяч. Основная причина, как объясняет Александр Поляков, состоит в том, что атаковать операционные системы, например Windows, становится всё сложнее и сложнее с учётом последних механизмов защиты, и «даже если у вас есть рабочий эксплойт под Windows, на атакуемом сервере может не храниться никакой ценной информации». «Так зачем тратить на это время, когда можно искать уязвимости в кастомизированных приложениях? Ведь их там огромное количество, потому что никто не оценивает такие приложения с точки зрения безопасности. К тому же атака на подобное приложение заведомо выгодна для злоумышленника, потому что оно по определению хранит ценные данные», - поясняет эксперт.

По мнению Полякова, основная проблема защиты в том, что, большая часть существующих механизмов безопасности не может отразить атаки типа SSRF и XXE tunneling. Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему, а также проводить тестирование сервисов на проникновение с помощью высококвалифицированных специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено.

Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результате скоординированной работы Digital Security и SAP AG производитель закрыл ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых, отмечает Поляков. Пользователям таких систем следует применять системы непрерывного мониторинга и поиска уязвимостей, которые помогут обнаруживать уязвимости и предоставят рекомендации по борьбе с угрозами. Преимущество будет у тех систем, которые имеют набор 0-day уязвимостей.

Александр Поляков советует предприятиям предотвращать продвинутые угрозы сетевой безопасности, как только они появляются: «Безопасность – это процесс, и чем раньше вы будете узнавать о новых проблемах и угрозах, тем выше вероятность, что вы будете от них защищены».

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru