В числе тем, занимающих меня последние несколько лет, выделяется комплекс вопросов, имеющих отношение к защите. И не только в контексте «имеет ли пользователь А доступ к ресурсу В». Прежде всего, мое внимание привлекают вопросы, связанные с аутентификацией и авторизацией, и так по цепочке вплоть до защиты среды от возможных атак хакеров и утечек данных. Если рассматривать SharePoint как платформу, следует отметить, что за последние несколько лет она чрезвычайно разрослась, и теперь нам нужно заняться исследованием контактных зон для каждой системы и каждого сервера, входящих в состав решения, то есть зон, внутри которых может быть предпринята хакерская атака. В нынешних условиях задача обеспечения безопасности платформ несколько усложнилась. Дело в том, что все компоненты системы должны постоянно находиться в онлайн-режиме, и мы вынуждены все время искать баланс между интересами безопасности и соображениями удобства эксплуатации.

С чего же начать? Когда мы задумываемся над тем, как создать условия для безопасной работы той или иной системы, полезно уяснить, каким образом думают и действуют хакеры. Почти все люди, которые могли бы называть себя хакерами, разделяют одни и те же идеи. Для них характерна склонность к решению головоломок, стремление покрасоваться («смотрите, что я могу взломать») или просто желание во всех подробностях разобраться с тем, как работает та или иная система. Разумеется, существуют и другие типы хакеров, которые используют свои умения для нанесения ущерба либо достижения иных неблаговидных целей, однако упомянутая выше логика в любом случае помогает в поиске путей обеспечения безопасности систем.

Теперь, когда нам известны «особые мотивы» злоумышленников, мы можем принять их как руководство к действию, направляя процесс в несколько иное русло.

В предыдущей статье я показал, что SharePoint как продукт подключается ко многим другим системам и взаимодействует с ними. Отсюда следует, что контактная зона атаки не ограничивается серверами SharePoint. Изучение порядка сопряжения различных компонентов — это первый шаг в процессе создания необходимой защиты.

Если это первый шаг, то в чем состоят последующие?

Первым делом нужно вычленить решение во всей его полноте — не только базовые компоненты решения, но и все, с чем оно взаимодействует и к чему подключается. Эта модель состоит из тех же этапов, что и тест на проникновение.

Основные шаги, которые сделает хакер, перечислены ниже.

Обследование

Сначала идет этап сбора информации о целевом объекте. В данном случае это среда SharePoint. Для профессионалов в сфере ИТ это означает получение ответов на следующие вопросы:

  • Какие данные хранятся в системе SharePoint?
  • Могу ли я обнаружить там персональные данные?
  • Есть ли в системе электронная таблица с именами пользователей и паролями?
  • Имеется ли там идентифицируемая информация, которая не должна храниться в SharePoint?
  • Имеются ли в системе элементы управления для идентификации названного выше?
  • Могу ли я, просто зайдя на сайт SharePoint, обнаружить информацию, которая поможет мне организовать атаки с применением методов социальной инженерии?
  • Имеются ли на сайте разделы, доступные извне?
  • Активированы ли и защищены ли должным образом средства анонимного доступа?

Сканирование и перечисление

Здесь все просто, речь идет о возможности запустить некий инструмент или сценарии, которые попытаются идентифицировать решение SharePoint. Выполнить эту задачу помогут такие распространенные инструменты, как команды Ping (ICMP) или SYN. С помощью этих инструментов можно идентифицировать операционную систему и получить более подробные сведения вплоть до перечня выполняемых служб. В выходной строке демонстрационной команды Nmap представлен большой объем информации, полученной при выполнении команды (см. экран 1).

 

Результаты работы команды Nmap
Экран 1. Результаты работы команды Nmap

 

Некоторые из упомянутых инструментов обладают еще более широкими возможностями и позволяют выявлять другие атаки, такие как SQL Injection, Cross Site Scripting, а также наличие у атакующей стороны ресурсов для преодоления базовых сетевых средств защиты.

Чтобы обеспечить защиту от упомянутых угроз, нужно рассмотреть возможность использования систем обнаружения, проследить за тем, чтобы брандмауэры на серверах были активированы и даже подумать о применении продуктов класса Anomaly Detection, таких как новый пакет Microsoft Advanced Threat Analytics или ему подобные. Эти инструменты выявляют статистические показатели использования ресурсов как пользователями, так и устройствами. Располагая сведениями о том, что считается «нормальным», они могут фиксировать отклонения от нормы (см. экран 2).

 

Результаты работы Microsoft Advanced Threat Analytics
Экран 2. Результаты работы Microsoft Advanced Threat Analytics

 

Получение доступа

Получение доступа к системе под видом другого пользователя или даже способность повышать уровень привилегий для существующей учетной записи — это цели, к которым стремятся хакеры. Когда злоумышленник получит учетную запись с расширенными правами, никто не сможет помешать ему перемещаться с системы на систему и по различным сегментам сети. Однако зачастую цель злоумышленника состоит всего лишь в том, чтобы получить пароли; при этом задача повышения уровня привилегий оставляется на потом. Простые пути доступа к SharePoint пролегают через взлом слабых паролей в учетных записях служб SharePoint или даже во всех записях администраторов SharePoint Administrators с помощью учетной записи службы Farm Service для получения таких возможностей.

Часто злоумышленники пользуются «известными» паролями; это пароли, которыми они завладели в ходе ранее проведенных операций взлома информационных систем и затем добавили их в обширные словарные списки паролей. Такими списками сегодня могут оснащаться многие программы, осуществляющие атаки методом подбора. Для этих целей используются программы Medusa, Metasploit Modules или даже специализированные сценарии (см. экран 3).

 

Результаты работы программы перебора паролей
Экран 3. Результаты работы программы перебора паролей

 

Если вы будете следить за безопасностью паролей и учетных записей, злоумышленникам будет труднее взломать их и использовать в качестве инструментов при проведении атаки.

Поддержание доступа и маскировка атаки

После успешного завершения атаки, когда уровень привилегий уже повышен, а учетные записи скомпрометированы, хакер берется за следующую цель: держать дверь открытой и замести следы. Устроить с помощью такого инструмента, как Metasploit, постоянную лазейку для входа в сеть не составляет никакого труда — программа работает безупречно.

Для блокировки хакерских лазеек подобного рода следует обеспечить оперативную установку на серверах последних обновлений и задействовать средство AppLocker либо другие технологии, предусматривающие управление процессами с помощью черных и белых списков (см. экран 4).

 

Настройка AppLocker и результаты его работы
Экран 4. Настройка AppLocker и результаты его работы

 

Более подробные сведения об AppLocker можно получить на страницах сети Microsoft TechNet (https://technet.microsoft.com/en-us/library/dd723678(v=ws.10).aspx).

Когда вы начнете думать как хакер, то есть уделять больше внимания четырем ключевым факторам, которые учитывают злоумышленники, вы сможете организовать более эффективную защиту своих вычислительных систем:

  • обследование;
  • сканирование и перечисление;
  • получение доступа;
  • поддержание доступа и маскировка атаки.

Эти ключевые вопросы важны не только для тех, кто эксплуатирует системы SharePoint; о них следует помнить при работе с самыми разными объектами — от домашнего беспроводного маршрутизатора до инфраструктуры корпоративного каталога Active Directory. Перечисленные ниже статьи дают более глубокое представление о технических решениях, которые вы можете применить для проникновения в SharePoint, а также о некоторых ошибках в организации средств безопасности, которые вы, возможно, уже совершаете:

  • Attacking the SharePoint Server from the Inside — Part 1 (https://www.helloitsliam.com/2015/02/11/attacking-the-sharepoint-server-from-the-inside-part-1/);
  • Attacking the SharePoint Server from the Inside — Part 2 (https://www.helloitsliam.com/2015/02/18/attacking-the-sharepoint-server-from-the-inside-part-2/);
  • SharePoint Security Mistakes you are Probably Making (https://www.helloitsliam.com/2015/12/01/sharepoint-security-mistakes-you-are-probably-making/).