Vanliga misstag som kraftigt reducerar säkerheten i din IT-miljö

I vårt arbete med säkerhetsgranskning av olika företag och organisationer ser vi gång på gång vanliga, men framförallt onödiga konfigurationsmissar och säkerhetsbrister som väsentligt underlättar för en extern eller intern angripare att få intern åtkomst till nätverket. Här beskriver vi vanliga misstag som kraftigt reducerar säkerheten i din IT-miljö och även åtgärder som säkrar upp.

Vanliga misstag som kraftigt reducerar säkerheten i din IT-miljö

Vanliga misstag som kraftigt reducerar säkerheten i din IT-miljö 1920 1280 C.A.G

En intressant notering vi ofta gör är att det långt ifrån alltid är ett tydligt samband mellan ”moget säkerhetsarbete” och en defacto säker IT-miljö. I ena fallet förefaller organisationen ha ett moget informationssäkerhetsarbete men har gjort en eller ett par olyckliga konfigurationsmissar som innebär en nästintill omedelbar kompromettering. I nästa fall ger en annan organisation ett betydligt mer slarvigt intryck men det visar sig ändå i slutändan kräva flera dagars testande för att nå fullständig kompromettering, om än då.

Nedan sammanfattas några typiska misstag vi ofta stöter på, vilka väsentligt underlättar allvarliga intrång:

 

1.      Avsaknad av tvåfaktorautentisering på externt tillgängliga tjänster

Som grundregel bör tvåfaktorautentisering tillämpas på alla externa tjänster som medger inloggning. Detta bör även omfatta mindre känsliga tjänster då möjligheten att exploatera en eventuellt kritisk sårbarhet är väsentligt större i inloggat läge. Kort sagt, en angripare som lyckas logga in i t.ex. en webbtjänst är ett steg närmare ett intrång mot det interna nätverket.

I och med att en specifik användares konto exponeras genom att någon knäckt dennes lösenord är det lätt att se det som en sluten händelse som inte påverkar systemet i stort. Men tyvärr är det alltför ofta som ett enda knäckt lösenord väsentligt exponerar hela organisationen.

 

2.      Återanvända lösenord för lokala admin-lösenord

Varje operativsystem har ett inbyggt administratörskonto. Klienter skapas ofta från en image vilket kan innebära, om inte åtgärder vidtas, att alla klienter får samma lösenord för det lokala administratörskontot. Det innebär kort sagt att om en enda klient blir komprometterad så kan en angripare utnyttja detta faktum till att ta kontroll över samtliga klienter som skapats från samma image. Därifrån identifierar angriparen vilka klienter som används av administratörer och läser ut lösenord eller lösenordshashar för administratörernas konton.

 

3.      Bortglömda externa tjänster

I nästan samtliga fall där vi skannar av en organisations publika IP-adresser finns tjänster som organisationen glömt bort. Ofta har de legat publikt i flera år och har inte patchats. Risken för kritiska säkerhetsbrister är uppenbar och kan ofta vara en enkel väg att få fotfäste på det interna nätverket.

 

4.      Känslig information som ligger och skräpar

Nästan alla organisationer använder nätverksmappar (”shares”) för att dela information. Antalet nätverksmappar och dess innehåll tenderar att växa med tiden. En användare kan med ett enkelt Powershell-skript inventera samtliga av organisationens nätverksmappar. Ofta hittar vi hundratals mappar som är konfigurerade att ge alla användare läsåtkomst. I hälften av fallen hittar vi mycket känslig information i mappar som felaktigt tillåter läsaccess till alla användare.

 

5.      Osäkra protokollinställningar

LLMNR och NBT-NS är två relativt okända protokoll som används av Windows som en form av fallback när ett namn inte kan slås upp via DNS. Dessa kan i många fall utnyttjas trivialt av en angripare på nätverket för att elevera sina rättigheter, inte minst om SMB signering är avslaget (vilket det är som standard på Windows klientoperativsystem). Avsaknad av SMB signering kan även i sig exploateras av en angripare på många sätt för att eskalera behörigheter.

 

6.      Kerberoasting

Kerberoasting är en relativt effektiv metod för att eskalera sina rättigheter. Attacken går ut på att angriparen begär ut ”Kerberos service tickets” för alla konton i AD som används av tjänster (”service accounts”).  Respektive biljett är signerad med respektive kontos NTLM-hash. Poängen med attacken är alltså att läsa ut lösenordshashar för konton som sannolikt har relativt höga privilegier som sedan kan knäckas offline. Attacken som sådan är svår att skydda sig mot på annat sätt än att säkerställa långa och komplexa lösenord i synnerhet för tjänstekonton.

 

Åtgärder

Vi rekommenderar alla organisationer oavsett hotbild att kontrollera dessa punkter. De flesta är förhållandevis enkla att åtgärda och kommer omedelbart att höja säkerhetsnivån. Checklista:

  • Använd en tredjepartstjänst som inventerar publika tjänster och rapporterar om en ny tjänst är exponerad
  • Inventera nätverksmappar och dess rättigheter (med hjälp av exempelvis scriptet PowerView.ps1)
  • Aktivera tvåfaktorautentisering på externa tjänster. Använd en app/token hellre än SMS
  • Använd unika admin-lösenord för klienter (använd gärna Microsoft LAPS)
  • Inaktivera LLMNR och NBT-NS
  • Aktivera SMB-signering även på klienter
  • Säkerställ långa och komplexa lösenord för konton som används av tjänster

 

Vid pennan/Jonas Haglund, IT-säkerhetsspecialist och penetrationstestare, C.A.G Engvall Security

Kontaktperson

Annika Rogneby

+46 70 687 33 08

annika.rogneby@cag.se

    X
    X