0
0
Não seja uma presa fácil para os atacantes de ransomware. Reveja sua rede Windows para esses pontos fracos agora
Susan Bradley, CSO
O ransomware está mais uma vez nas notícias. Os invasores estão supostamente visando prestadores de cuidados de saúde e usando campanhas de phishing direcionadas disfarçadas de convites para reuniões ou faturas que contêm links para documentos do Google, que então levam a PDFs com links para executáveis assinados que têm nomes com palavras distintas como “visualização” e “teste”.
Uma vez que o ransomware entra em um sistema, os invasores vão atrás de iscas mais fáceis de alcançar deixadas para trás em nossas redes para causar mais danos. Esse acesso fácil é evitável e pode ser o resultado de uma configuração antiga e esquecida ou de uma política desatualizada. Veja como você pode verificar sete pontos fracos comuns da rede do Windows e evitar que os criminosos de ransomware envergonhem você e sua equipe.
Senhas armazenadas nas preferências de Política de Grupo
Você já armazenou senhas nas preferências de Política de Grupo? Em 2014, o MS14-025 corrigiu as preferências da Política de Grupo e removeu a capacidade de armazenar senhas de forma insegura, mas não removeu as senhas. Os atacantes de ransomware usam o script do PowerShell Get-GPPPassword para obter senhas deixadas para trás.
Revise suas preferências de Política de Grupo para ver se sua organização já armazenou senhas dessa maneira. Pense em qualquer outra ocasião em que você deixou credenciais em um script ou arquivo em lote. Revise seus processos administrativos para senhas deixadas em arquivos de bloco de notas, locais de rascunho e outros arquivos que não estão protegidos.CIO2503
Usando o protocolo de área de trabalho remota
Você ainda usa o protocolo RDP (Remote Desktop Protocol) inseguro e desprotegido? Ainda vejo relatórios em que os invasores usam força bruta e coletam credenciais para invadir o RDP aberto para a web. Foi muito fácil configurar servidores, máquinas virtuais e até servidores Azure com desktop remoto. Habilitar a área de trabalho remota sem pelo menos proteções mínimas, como limitar ou restringir o acesso a endereços IP estáticos específicos, não proteger a conexão com a proteção RDgateway ou não configurar a autenticação de dois fatores significa que você está sob grave risco de um invasor assumir o controle da rede. Lembre-se de que você pode adicionar software como Duo.com a computadores locais para proteger melhor a área de trabalho remota.
Reutilização de senha
Com que frequência você ou seus usuários reutilizam senhas? Os invasores obtêm acesso às senhas coletadas em locais de despejo de dados on-line. Sabendo que frequentemente reutilizamos senhas, os invasores usam essas credenciais em várias sequências de ataque contra sites e contas, bem como contra domínios e acesso ao Microsoft 365.
Outro dia alguém disse: “os atacantes não invadem hoje em dia; eles se conectam”. Garantir que você ativou a autenticação multifator em sua organização é a chave para impedir esse estilo de ataque. O uso de um programa gerenciador de senhas incentiva senhas melhores e mais exclusivas. Além disso, muitos gerenciadores de senha sinalizam quando uma combinação de nome de usuário e senha é reutilizada.
Vulnerabilidades de escalonamento de privilégios não corrigidos
Você torna mais fácil para os invasores se moverem lateralmente? Recentemente, os invasores têm usado vários meios para movimento lateral, como a vulnerabilidade NetLogon CVE-2020-1472 chamada ZeroLogon para elevar privilégios em controladores de domínio que não possuem os patches de segurança de agosto (ou posteriores). A Microsoft indicou recentemente que os invasores agora estão tentando explorar esta vulnerabilidade.
SMBv1 está ativado
Mesmo que você tenha aplicado todos os patches para vulnerabilidades conhecidas do Server Message Block versão 1 (SMBv1), os invasores podem ter outras vulnerabilidades para explorar. Quando você instala o Windows 10 versão 1709 ou posterior, por padrão, o SMBv1 não é habilitado. Se o cliente ou servidor SMBv1 não for usado por 15 dias (excluindo o tempo em que o computador está desligado), o Windows 10 desinstala automaticamente o protocolo.
O protocolo SMBv1 tem mais de 30 anos e você deve parar de usá-lo. Existem várias maneiras de desabilitar e remover o SMBv1 de sua rede, desde a Política de Grupo ao PowerShell e chaves do Registro.
Proteções de e-mail inadequadas
Você fez tudo o que podia para garantir que seu e-mail – um ponto de entrada importante para invasores – esteja protegido contra ameaças? Os invasores frequentemente conseguem entrar nas redes por meio de e-mails de spam. Todas as organizações devem usar um serviço de higiene de e-mail para verificar e revisar as mensagens que entram na rede. Tenha um processo de filtragem na frente do seu servidor de e-mail. Seja esse filtro de Proteção Avançada contra Ameaças do Office 365 (ATP) ou uma solução de terceiros, tenha um serviço na frente do seu e-mail que avalia a reputação do remetente do e-mail, verifica links e analisa o conteúdo. Reveja qualquer higiene de e-mail que você configurou anteriormente. Se você usa o Office/Microsoft 365, analise a pontuação segura e as configurações de ATP.
Usuários não treinados
Por último, mas não menos importante, certifique-se de corrigir seus humanos. E-mails maliciosos costumam entrar em minha caixa de entrada, mesmo com todas as configurações ATP apropriadas. Um usuário final um pouco paranóico e educado pode ser seu firewall final para garantir que ataques maliciosos não entrem em seus sistemas. O ATP inclui testes para ver se seus usuários cairão em ataques de phishing.
Troy Hunt escreveu recentemente sobre como as fontes usadas em navegadores geralmente tornam difícil determinar o que é um bom site e o que é um site ruim. Ele ressaltou que os gerenciadores de senhas validam automaticamente os sites e se oferecem para preencher a senha apenas para os sites que correspondem ao seu banco de dados.