Какие уязвимости используют сотрудники, чтобы повысить свои привилегии?
Отчет компании Crowdstrike , основанный на данных с января 2021 по апрель 2023 года, показывает значительный рост киберугроз, исходящих от сотрудников компаний. Речь идет не только о явных вредоносных действиях, но и о ситуациях, когда люди невольно подвергают риску корпоративные системы.
55% внутренних угроз связаны с эксплуатацией уязвимостей для расширения прав доступа. В оставшихся 45% случаев сотрудники обращаются к ненадежным программам и сервисам.
Повышенные права доступа позволяют злоумышленникам выполнять различные действия: загружать и устанавливать неавторизованное ПО, стирать записи в системных журналах, а также искать и устранять неполадки на своих компьютерах, применяя инструменты, доступные только администраторам.
К непреднамеренным ошибкам относится тестирование эксплойтов, которое выходит из-под контроля, использование агрессивных инструментов защиты без соответствующих мер предосторожности, а также загрузка кода без предварительной проверки.
Crowdstrike отмечает, что некоторые инциденты происходили, когда специалисты по кибербезопасности тестировали эксплойты и комплекты эксплойтов непосредственно на рабочих станциях в производственной среде, вместо того чтобы использовать виртуальную машину.
В большинстве таких случаев были задействованы инструменты вроде Metasploit Framework и ElevateKit.
Сотрудники обращаются к незаконным схемам по разным причинам, включая финансовые стимулы, личные обиды или разногласия с руководством.
Средние затраты на устранение последствий атак изнутри составляют 648 тысяч долларов для злонамеренных и 485 тысяч для неумышленных инцидентов. Предполагается, что эти цифры могут возрасти в 2023 году.
Кроме финансовых потерь, Crowdstrike подчеркивает косвенные последствия. Например, ущерб для репутации и бренда организации.
Самые часто эксплуатируемые уязвимости:
1. CVE-2017-0213 (Windows) - уязвимость, позволяющая повысить привилегии через эксплуатацию инфраструктуры COM.
2. CVE-2022-0847 - DirtyPipe (Linux) - недостаток в управлении канальными операциями в ядре Linux.
3. CVE-2021-4034 - PwnKit (Linux) - уязвимость, влияющая на системную службу Polkit.
4. CVE-2019-13272 (Linux) - проблема, связанная с неправильной обработкой привилегий пользователя в процессах ядра.
5. CVE-2015-1701 (Windows) - ошибка в драйвере 'win32k.sys', позволяющая несанкционированное выполнение кода.
6. CVE-2014-4113 (Windows) – также направлена на компонент 'win32k.sys' в Windows, но для её эксплуатации используется иной подход.
Самые известные уязвимости, возникающие из-за неосторожности сотрудников:
1. CVE-2021-42013 (Apache HTTP Server) – уязвимость, связанная с обработкой сети на серверах Apache HTTP версий 2.4.49 и 2.4.50.
2. CVE-2021-4034 - PwnKit (Linux) - уязвимость в системной службе Polkit, связанная с доступом к несанкционированным областям памяти.
3. CVE-2020-0601 (Windows) - уязвимость подделки запросов в CryptoAPI Windows.
4. CVE-2016-3309 (Windows) - проблема эскалации привилегий в ядре Windows.
5. CVE-2022-21999 (Windows) - уязвимость эскалации привилегий в службе печати Windows.
Внедрение уязвимостей в корпоративные системы дает злоумышленникам, уже получившим доступ к сети, новые возможности для дальнейших атак.
Однако ещё большую опасность представляют фальшивые эксплоиты и инструменты для тестирования на проникновение, распространяющие вредоносное ПО.
Например, в мае злоумышленники распространяли поддельные эксплоиты для уязвимостей Windows, которые тайно устанавливали на компьютеры бэкдор Cobalt Strike.
В другой атаке исследователи Rapid7 обнаружили фальшивые эксплоиты для 0-day уязвимостей, инфицировавших системы Windows и Linux вредоносным ПО.
Одно найти легче, чем другое. Спойлер: это не темная материя