Digital Security предупреждает о новом виде атак на корпоративные системы

Digital Security предупреждает о новом виде атак на корпоративные системы

По итогам выступлений на BlackHat USA 2012 и RSA China 2012Александр Поляков, технический директор Digital Security, представил обзор новой угрозы для критичных бизнес-приложений – SSRF (Server Side Request Forgery). «Представьте, что у вас есть две системы (назовём их А и Б), которые доверяют друг другу, то есть соединение между ними не блокируется межсетевым экраном, так как между ними необходимо передавать некие данные.

Система А – это, например, корпоративный портал, который обычно доступен из небезопасной сети, такой как интернет. А другая система – это, скажем, ERP, и она недоступна из интернета, но доверяет корпоративному порталу. Именно такова структура сети большинства компаний, - рассказывает Поляков. – SSRF-атака (Server Side Request Forgery, или межсерверная подделка запросов) заключается в том, чтобы найти какой-нибудь уязвимый сервис в системе А, который сможет переслать зловредный запрос во внутреннюю сеть и таким образом перенаправить атаку в систему Б. Так злоумышленник сможет, обойдя межсетевые экраны и системы обнаружения вторжений, напрямую эксплуатировать уязвимости в якобы защищенных системах».

По его словам, традиционные атаки направлены непосредственно на целевую систему и относительно легко обнаруживаются IDS-системами или блокируются межсетевыми экранами. SSRF – пример более сложной атаки, которую труднее предотвратить, так как атака осуществляется не напрямую, а через посредника, и эксплойт передаётся в преобразованном виде, что затрудняет его обнаружение, передает safe.cnews.ru.

SSRF, несомненно, представляет собой новую опасную угрозу критичным бизнес-приложениям, отмечает Поляков. Раньше пользователи, вместо того чтобы вовремя обновлять критичные системы, просто прятали их за межсетевыми экранами. А теперь такая защита обходится с помощью SSRF. Сейчас для SSRF-атаки необходимы особые условия, но, как и в случае любой другой атаки, появление в Сети полноценного эксплойта с дружественным интерфейсом – всего лишь вопрос времени, говорит технический директор Digital Security. После презентации Digital Security на BlackHat USA в Сети уже успели появиться первые инструменты для проведения SSRF-атак, например, для проксирования любых запросов через уязвимый сервис.

Область применения атак, связанных с SSRF и туннелированием внешних сущностей XML, гораздо шире, чем может казаться сейчас, так как на BlackHat были представлены лишь несколько примеров ее использования, в основном для атак на SAP. В будущем наверняка появятся и другие способы применения SSRF, утверждает Александр Поляков.

Критичные бизнес-системы подвержены угрозам промышленного шпионажа, саботажа, а также мошенничества. С помощью SSRF-атак можно реализовать любую из этих угроз в зависимости от типа эксплуатируемой уязвимости. В случае XXE-туннелирования наиболее простой атакой является отказ в обслуживании. Уязвимый сервис размножит ваш запрос, так что всего один пакет с определёнными данными заставит внешний портал переслать в бизнес-приложение тысячи запросов и в итоге «уронить» систему.

Как Digital Security предупреждали еще несколько лет назад, количество атак на уязвимости кастомизированных приложений, таких как ERP-системы, программное обеспечение для банковского обслуживания, сервисные шины, CRM-системы, корпоративные порталы и т.д., сильно возросло в последнее время. Например, SAP в 2001–2006 г. закрыла около сотни уязвимостей в своих продуктах, а с 2007 по 2012 г.– уже более двух тысяч. Основная причина, как объясняет Александр Поляков, состоит в том, что атаковать операционные системы, например Windows, становится всё сложнее и сложнее с учётом последних механизмов защиты, и «даже если у вас есть рабочий эксплойт под Windows, на атакуемом сервере может не храниться никакой ценной информации». «Так зачем тратить на это время, когда можно искать уязвимости в кастомизированных приложениях? Ведь их там огромное количество, потому что никто не оценивает такие приложения с точки зрения безопасности. К тому же атака на подобное приложение заведомо выгодна для злоумышленника, потому что оно по определению хранит ценные данные», - поясняет эксперт.

По мнению Полякова, основная проблема защиты в том, что, большая часть существующих механизмов безопасности не может отразить атаки типа SSRF и XXE tunneling. Лучшее, что можно сделать – это устанавливать патчи и не думать, будто межсетевого экрана достаточно, чтобы защитить систему, а также проводить тестирование сервисов на проникновение с помощью высококвалифицированных специалистов в области безопасности приложений. Что же до частного случая SSRF-атаки, который называется туннелированием внешних сущностей XML (XXE tunneling), то все интерфейсы XML должны быть защищены от неавторизованного доступа, а использование внешних сущностей XML должно быть отключено.

Что касается критичных бизнес-приложений, таких как SAP, то на данный момент в результате скоординированной работы Digital Security и SAP AG производитель закрыл ряд архитектурных уязвимостей, позволяющих проводить подобные атаки, но это не означает, что не появится новых, отмечает Поляков. Пользователям таких систем следует применять системы непрерывного мониторинга и поиска уязвимостей, которые помогут обнаруживать уязвимости и предоставят рекомендации по борьбе с угрозами. Преимущество будет у тех систем, которые имеют набор 0-day уязвимостей.

Александр Поляков советует предприятиям предотвращать продвинутые угрозы сетевой безопасности, как только они появляются: «Безопасность – это процесс, и чем раньше вы будете узнавать о новых проблемах и угрозах, тем выше вероятность, что вы будете от них защищены».

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru