As organizações geralmente presumem que firewalls, proteção de endpoint e SIEMs são suficientes para mantê-las seguras. Mas quão eficazes são essas defesas quando colocadas à prova? É aí que entra a importância quanto a realização de PenTests nas empresas, pois simulam cenários de ataque do mundo real, ajudando as organizações a encontrar vulnerabilidades exploráveis antes que os cibercriminosos o façam.
Estudos realizados após a condução de mais de 10000 testes automatizados de penetração de rede identificaram uma realidade preocupante na qual muitas empresas ainda têm lacunas críticas de segurança que podem ser facilmente exploradas por invasores. E não são explorações complexas de dia zero. São configurações incorretas, senhas fracas e vulnerabilidades não corrigidas que os invasores exploram rotineiramente para obter acesso, mover-se lateralmente e escalar privilégios dentro das redes. Veja como esses riscos se dividem:
- • 50% decorrem de configurações incorretas – configurações padrão, controles de acesso fracos e políticas de segurança negligenciadas.
- • 30% são devido a patches faltantes – Sistemas sem patches que deixam a porta aberta para exploits conhecidos.
- • 20% envolvem senhas fracas – Serviços rodando sem autenticação adequada, facilitando a entrada de invasores.
Neste artigo, abordaremos os dez riscos mais críticos de segurança de rede interna, detalhando o que são, por que são perigosos e como corrigi-los antes que se tornem problemas reais. Se essas fraquezas existirem em seu ambiente, será apenas uma questão de tempo para que os invasores as encontrem.
10. Deficiências de senha – Serviço Redis
CVSS3: 9,9
% de ocorrência: 1,3%
O que é:
O Redis é um armazenamento de dados de chave-valor na memória comumente usado para cache, agente de mensagens e análises em tempo real. Por padrão, o Redis não impõe autenticação, permitindo que os clientes se conectem sem credenciais.
Impacto de segurança:
Se um adversário obtiver acesso ao serviço Redis, ele poderá obter dados confidenciais armazenados nos bancos de dados hospedados no servidor e possivelmente escalar privilégios para obter acesso em nível de sistema, dependendo dos recursos do serviço Redis e das permissões associadas à conta de usuário comprometida. Isso pode levar à manipulação não autorizada de dados, exfiltração de dados ou exploração adicional do sistema.
Recomendação:
É fundamental configurar o serviço Redis para exigir uma senha forte que atenda à política de senha da organização. Uma senha robusta deve abranger os seguintes critérios:
- • Mínimo de 12 caracteres
- • Não é facilmente adivinhada, por exemplo, não encontrada em um dicionário
- • Combinação de letras maiúsculas, letras minúsculas, dígitos numéricos e/ou caracteres especiais
- • Verificável em bancos de dados de senhas comprometidas conhecidas (por exemplo, www.haveibeenpwned.com)
Além disso, utilizar um gerenciador de senhas pode aumentar a segurança ao gerar senhas complexas que são difíceis de recuperar, mesmo no caso de o hash da senha ser obtido por meio de uma violação.
9. Servidores Firebird aceitam credenciais padrão
CVSS3: 9,0
% de ocorrência: 1,4%
O que é:
As credenciais padrão geralmente são nomes de usuário e senhas codificados para a configuração inicial e devem ser alterados imediatamente para manter a segurança. Esse problema surge quando os sistemas são implantados sem reconfiguração ou quando as configurações padrão são ignoradas durante o processo de configuração.
Impacto de segurança:
A dependência de credenciais padrão para servidores Firebird pode levar ao acesso não autorizado, permitindo que invasores autentiquem e realizem reconhecimento nos sistemas afetados. Eles podem enumerar arquivos ou alterar configurações do sistema, abrindo caminhos para exploração posterior. Se o invasor identificar a localização dos arquivos do banco de dados Firebird, ele pode obter a capacidade de ler ou modificar informações confidenciais do banco de dados. Além disso, certas versões do Firebird podem ser manipuladas para executar comandos do sistema, estendendo assim o controle de um invasor sobre o host remoto.
Recomendação:
Para mitigar essa vulnerabilidade, é essencial utilizar a ferramenta GSEC para alterar as credenciais padrão associadas aos servidores Firebird. Além disso, implementar uma política para auditorias regulares de credenciais e garantir que todas as configurações padrão sejam modificadas antes da implantação pode aumentar ainda mais a segurança. Monitorar continuamente os logs de acesso do servidor para tentativas não autorizadas e habilitar alertas para atividades suspeitas ajudará a detectar explorações potenciais antecipadamente.
8. Microsoft Windows RCE (BlueKeep)
CVSS3: 9,8
% de ocorrência: 4,4%
O que é:
BlueKeep é uma vulnerabilidade de execução remota de código no Protocolo de Área de Trabalho Remota (RDP) da Microsoft, identificada como CVE-2019-0708.
Impacto de segurança:
A exploração da vulnerabilidade BlueKeep permite que um invasor assuma o controle total sobre os sistemas afetados. Esse nível de acesso pode facilitar ataques adicionais na infraestrutura da organização, incluindo a extração potencial de dados confidenciais, como senhas e hashes de senha. Além disso, o invasor pode navegar lateralmente na rede, comprometendo sistemas e serviços adicionais. A natureza da exploração significa que nenhum privilégio especial ou acesso autenticado é necessário para executar o ataque, simplificando assim o processo para o invasor e amplificando o impacto potencial na organização.
Recomendação:
É essencial aplicar prontamente todas as atualizações de segurança relevantes aos sistemas afetados para mitigar a vulnerabilidade BlueKeep. As organizações devem conduzir uma revisão completa de seus processos de gerenciamento de patches para identificar fatores que contribuem para a ausência de atualizações oportunas. Dada a explorabilidade dessa vulnerabilidade e sua capacidade de comprometer severamente os sistemas, uma resposta imediata é essencial para proteger o ambiente digital da organização.
7. Microsoft Windows RCE (EternalBlue)
CVSS3: 9.8
% de ocorrência: 4,5%
O que é:
O EternalBlue é um vulnerabilidade de execução de código remoto no protocolo Microsoft Server Message Block (SMBV1). Ele permite que um invasor envie pacotes especialmente criados para um sistema vulnerável, permitindo acesso não autorizado e execução de código arbitrário com privilégios no nível do sistema.
Impacto de segurança:
A exploração da vulnerabilidade EternalBlue permite que um invasor obtenha acesso administrativo total aos sistemas afetados. Esse acesso pode facilitar outras ações maliciosas na rede da organização, incluindo a extração de senhas e hashes de senha do ClearText, além de movimento lateral para outros sistemas. É importante ressaltar que essa vulnerabilidade não exige que o invasor escala privilégios no sistema comprometido, o que significa que eles podem iniciar o reconhecimento e mais ataques sem nenhum esforço adicional.
Recomendação:
Para mitigar o risco associado à vulnerabilidade do EternalBlue, é imperativo aplicar imediatamente os patches de segurança relevantes a todos os sistemas afetados. Além disso, uma revisão completa do programa de gerenciamento de patches da organização deve ser conduzida para identificar quaisquer deficiências que levassem ao status de não atualizado desses sistemas. Dado o alto risco e a prevalência de exploração dessa vulnerabilidade, os esforços imediatos de remediação são cruciais.
6. IPMI Autenticação Bypass
CVSS3: 10.0
% de ocorrência: 15,7%
O que é:
A interface de gerenciamento de plataforma inteligente (IPMI) é uma solução crítica de hardware utilizada pelos administradores de rede para gerenciamento centralizado de servidores. Durante a configuração dos servidores equipados com IPMI, podem existir certas vulnerabilidades que permitem que os invasores ignorem o mecanismo de autenticação remotamente. Isso resulta na extração de hashes de senha e, em casos em que os algoritmos de hash padrão ou fracos são empregados, os invasores poderiam potencialmente recuperar as senhas ClearText.
Impacto de segurança:
A capacidade de extrair senhas ClearText apresenta um risco significativo de segurança, pois um invasor pode aproveitar essas informações para obter acesso remoto não autorizado a serviços confidenciais, incluindo interfaces seguras de shell (SSH), telnet ou na Web. Esse acesso não autorizado pode permitir a manipulação de configurações, impactando negativamente a disponibilidade e a integridade dos serviços fornecidos pelos servidores comprometidos.
Recomendação:
Dada a ausência de um patch para essa vulnerabilidade, é essencial implementar uma ou mais das seguintes estratégias de mitigação:
- • Limite o acesso IPMI estritamente a sistemas autorizados que exigem funcionalidades administrativas.
- • Desative o serviço IPMI em servidores que não precisam dele para operações comerciais.
- • Altere a senha do administrador padrão para alternativas fortes e complexas para melhorar a segurança.
- • Empregue protocolos de comunicação segura, como HTTPs e SSH, para mitigar o risco de ataques de homem no meio que poderiam expor credenciais confidenciais.
5. Sistemas Operacionais Microsoft Windows desatualizados
CVSS3: 9.8
% de ocorrência: 24,9%
O que é:
Equipamentos com sistema operacional Microsoft Windows desatualizado apresenta riscos de segurança significativos, pois não estão mais recebendo atualizações críticas da Microsoft. Esses sistemas podem não ter patches de segurança essenciais que abordem vulnerabilidades conhecidas, tornando-os efetivamente mais suscetíveis à exploração pelos invasores. Além disso, a ausência de atualizações pode resultar em problemas de compatibilidade com as ferramentas e software de segurança modernos, diminuindo ainda mais as defesas do sistema. As vulnerabilidades em sistemas desatualizadas geralmente podem ser exploradas em ataques, como distribuição de malware, exfiltração de dados e acesso não autorizado.
Impacto de segurança:
Se explorado, um equipamento com sistema Microsoft Windows desatualizado pode permitir que um invasor obtenha acesso não autorizado aos sistemas afetados, expondo dados e recursos confidenciais. Além disso, devido à similaridade potencial nas configurações entre os sistemas dentro da mesma rede, um invasor pode utilizar o sistema comprometido como um ponto de lançamento para se mover lateralmente, comprometendo sistemas adicionais e aumentando o impacto geral da violação.
Recomendação:
É altamente recomendável substituir as versões desatualizadas do Microsoft Windows por sistemas operacionais atuais que ainda são suportados pelo fabricante. Isso deve incluir a realização de um inventário completo de todos os sistemas para identificar e priorizar versões desatualizadas, seguidas pela implementação de uma estratégia de atualização em fases. Verifique regularmente que todos os sistemas estão recebendo as atualizações e patches mais recentes para manter a integridade da segurança.
4. IPv6 DNS Spoofing
CVSS3: 10.0
% de ocorrência: 49,9%
O que é:
O risco de falsificação IPv6 DNS surge da possível introdução de um servidor desonesto DHCPV6 dentro da infraestrutura de rede interna. Devido à preferência dos sistemas Microsoft Windows para IPv6 sobre o IPv4, os clientes com capacidades de IPv6 tendem a obter suas configurações de endereço IP de qualquer servidor DHCPV6 disponível.
Impacto de segurança:
A implantação de um servidor desonesto DHCPV6 permite que um invasor manipule solicitações DNS redirecionando clientes habilitados para IPv6 para utilizar o sistema do atacante como seu servidor DNS. Esse recurso pode levar a consequências sérias, como a captura não autorizada de dados sensíveis, incluindo credenciais do usuário. Quando todas as consultas do DNS resolvem o servidor do atacante, o sistema da vítima pode se comunicar inadvertidamente com serviços maliciosos que operam na infraestrutura do invasor, abrangendo plataformas como SMB, HTTP, RDP e MSSQL.
Recomendação:
Para mitigar os riscos associados à falsificação do IPv6 DNS, as seguintes estratégias são recomendadas, com ênfase no alinhamento de cada abordagem com operações organizacionais e testes completos antes da implementação:
- • Gerencie o DHCP desonesto na camada de rede: implemente recursos como detecção de DHCP desonesta, bisbilhoteiros de DHCP e autenticação DHCP em interruptores de rede e firewalls para controlar servidores DHCP não autorizados e diminuir a probabilidade de ataques de DNS.
- • Prefira o IPv4 sobre o IPv6: Utilize Objetos de Política de Grupo (GPOs) ou Preferências de Política de Grupo (GPPs) para implantar modificações de registro que configuram os sistemas Windows para favorecer o IPv4 em relação ao IPv6. É importante observar que essa abordagem não impedirá que os ataques afetem os dispositivos que não tem Windows instalado.
- • Desativar IPv6: Embora geralmente não seja aconselhável para os sistemas do Microsoft Windows, a desativação do IPv6 pode ser considerada como precaução de último recurso, desde que testes completos garantem que não haja interrupções significativas nas operações de negócios.
3. Resolução de nomes multicast local Link-Local (LLMNR)
CVSS3: 9.8
% de ocorrência: 65,5%
O que é:
Link-Local Multicast Name Resolution (LLMNR) é um protocolo projetado para resolução de nomes dentro de ambientes de rede interna quando os serviços de sistema de nomes de domínio tradicional (DNS) não estão disponíveis ou ineficazes. O LLMNR atua como um mecanismo de fallback, facilitando a resolução dos nomes do DNS por meio de consultas multicast. O processo de resolução se desenrola da seguinte forma:
- O sistema consulta primeiro seu arquivo de host local para encontrar um endereço IP correspondente para o nome DNS especificado.
- Se não houver entrada local, o sistema inicia uma consulta DNS direcionada para os servidores DNS configurados para resolver o nome.
- Se os servidores DNS não fornecerem uma resolução, o sistema transmite uma consulta LLMNR pela rede local, buscando respostas de outros hosts.
Essa dependência de transmissões multicast apresenta vulnerabilidades, pois qualquer sistema ativo pode responder às consultas, potencialmente enganando o sistema solicitante.
Impacto de segurança:
A natureza de transmissão das consultas LLMNR permite que qualquer sistema da rede local responda com seu próprio endereço IP em resposta a uma solicitação de resolução. Os atores maliciosos podem explorar isso enviando respostas criadas contendo o endereço do sistema do atacante. Esse recurso abre avenidas para violações significativas de segurança, principalmente se a consulta estiver vinculada a serviços sensíveis, como SMB, MSSQL ou HTTP. O redirecionamento bem-sucedido pode facilitar a captura de informações confidenciais, incluindo credenciais simples e comuns. É pertinente observar que as credenciais de hash podem ser submetidas a ataques modernos de força bruta, comprometendo a segurança da conta.
Recomendação:
Para mitigar os riscos associados à falsificação de LLMNR, é fundamental desativar a funcionalidade LLMNR entre os sistemas afetados. Isso pode ser realizado através dos seguintes métodos:
- • Configuração da política do grupo: Navegue até a Computer Configuration\Administrative Templates\Network\DNS Client e em ‘Turn off Multicast Name Resolution’ de defina como “Enabled”. Para administrar configurações em um controlador de domínio Windows Server 2003, utilize as ferramentas de administração do servidor remoto para o Windows 7.
- • Modificação do Registro para Windows Vista/7/10 Edição Home: Acesse o Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient e modifique a chave ‘EnableMulticast’ para 0 ou remova essa chave para desativar o recurso.
2. Spoofing de serviço de nome NetBIOS (NBNS)
CVSS3: 9.8
% de ocorrência: 73,3%
O que é:
O NETBIOS Name Service (NBNS) é um protocolo utilizado por estações de trabalho em uma rede interna para resolver nomes de domínio quando um servidor DNS não está disponível ou não responde. Quando um sistema tenta resolver um nome de DNS, ele segue estas etapas:
- O sistema verifica primeiro seu arquivo de host local para uma entrada mapeando o nome do DNS para um endereço IP.
- Se não houver mapeamento local, o sistema envia uma consulta DNS para os servidores DNS configurados e disponíveis na tentativa de recuperar o endereço IP correspondente.
- Se os servidores DNS não puderem resolver o nome, o sistema transmitirá uma consulta NBNS pela rede local, solicitando respostas de outros sistemas.
Essa dependência de transmissões torna os NBNS vulneráveis a ataques de falsificação, em que um invasor pode responder com um endereço IP falso.
Impacto de segurança:
A natureza de transmissão das consultas do NBNS significa que qualquer sistema na rede local pode responder. Essa vulnerabilidade pode ser explorada por atores maliciosos que podem responder a essas consultas com o endereço IP do sistema do atacante, redirecionando o tráfego destinado a serviços legítimos. Por exemplo, serviços como SMB, MSSQL ou HTTP poderiam inadvertidamente enviar dados confidenciais, incluindo credenciais de conta ClearText ou hashed, para o sistema do atacante. Além disso, os recursos computacionais modernos podem facilitar a quebra de credenciais de hash, potencialmente permitindo acesso não autorizado às contas de usuário.
Recomendação:
Para mitigar o risco de falsificação do NBNS, é aconselhável desativar o serviço NetBIOS em todos os hosts da rede interna. Isso pode ser realizado através de uma variedade de métodos, incluindo a configuração das opções de DHCP, ajustes nas configurações do adaptador de rede ou modificações no registro do sistema. A implementação dessas alterações reduzirá significativamente a superfície de ataque potencial associada aos NBNS.
1. Multicast DNS (mDNS) Spoofing
CVSS3: 9.8
% de ocorrência: 78,2%
O que é:
O Multicast DNS (mDNS) serve como um protocolo de resolução de nomes para redes locais, facilitando a resolução dos nomes de domínio quando um servidor DNS dedicado não está disponível. O processo de resolução ocorre da seguinte forma:
- O sistema primeiro consulta seu arquivo de host local para qualquer mapeamento apropriado de nome DNS/endereço IP.
- Na ausência de um servidor DNS configurado, o sistema recorre ao mDNS, transmitindo uma consulta Multicast IP solicitando identificação do host correspondente ao nome do DNS. Esse comportamento do protocolo expõe uma vulnerabilidade potencial que os atores maliciosos podem explorar, permitindo que eles se vejam sistemas legítimos, respondendo a essas consultas.
Impacto de segurança:
As consultas do mDNS, que são transmitidas pela sub -rede local, podem ser respondidas por qualquer dispositivo capaz de recebê -las. Essa vulnerabilidade permite que um invasor responda com o endereço IP do sistema, potencialmente enganando o sistema de consulta. Essa exploração pode levar à interceptação de informações confidenciais, incluindo credenciais não criptografadas e hash, dependendo do serviço específico que a vítima está tentando acessar (por exemplo, SMB, MSSQL, HTTP). Deve-se notar que as credenciais de hash geralmente podem ser comprometidas em um período de tempo relativamente curto usando recursos de computação contemporânea e metodologias de ataque de força bruta.
Recomendação:
Para mitigar o risco de falsificação de mDNS, a recomendação principal é desativar completamente os mDNS se não estiver em uso. Nos sistemas Windows, isso geralmente pode ser feito implementando a política de grupo ‘Disable Multicast Name Resolution‘. Como muitos aplicativos têm o potencial de reintroduzir a funcionalidade mDNS, uma estratégia alternativa é bloquear a porta UDP 5353 pelo firewall do Windows. Para sistemas não-Windows, serviços de desativação, como Apple Bonjour ou Avahi-Daemon, podem fornecer proteção semelhante.
É importante observar que os mDNS incapacitantes podem interromper as funcionalidades como streaming e certas tecnologias da sala de conferências. Portanto deve se concluir a desativação dos mDNS não utilizados e isolar os sistemas afetados dentro de um segmento de rede controlado bem como exigir o uso de senhas fortes e complexas para quaisquer contas que acessem esses sistemas.
Para saber mais sobre, clique aqui.