Враг среди своих: Crowdstrike открывает глаза на внутренние угрозы в бизнесе

Враг среди своих: Crowdstrike открывает глаза на внутренние угрозы в бизнесе

Какие уязвимости используют сотрудники, чтобы повысить свои привилегии?

image

Отчет компании Crowdstrike , основанный на данных с января 2021 по апрель 2023 года, показывает значительный рост киберугроз, исходящих от сотрудников компаний. Речь идет не только о явных вредоносных действиях, но и о ситуациях, когда люди невольно подвергают риску корпоративные системы.

55% внутренних угроз связаны с эксплуатацией уязвимостей для расширения прав доступа. В оставшихся 45% случаев сотрудники обращаются к ненадежным программам и сервисам.

Повышенные права доступа позволяют злоумышленникам выполнять различные действия: загружать и устанавливать неавторизованное ПО, стирать записи в системных журналах, а также искать и устранять неполадки на своих компьютерах, применяя инструменты, доступные только администраторам.

К непреднамеренным ошибкам относится тестирование эксплойтов, которое выходит из-под контроля, использование агрессивных инструментов защиты без соответствующих мер предосторожности, а также загрузка кода без предварительной проверки.

Crowdstrike отмечает, что некоторые инциденты происходили, когда специалисты по кибербезопасности тестировали эксплойты и комплекты эксплойтов непосредственно на рабочих станциях в производственной среде, вместо того чтобы использовать виртуальную машину.

В большинстве таких случаев были задействованы инструменты вроде Metasploit Framework и ElevateKit.

Сотрудники обращаются к незаконным схемам по разным причинам, включая финансовые стимулы, личные обиды или разногласия с руководством.

Средние затраты на устранение последствий атак изнутри составляют 648 тысяч долларов для злонамеренных и 485 тысяч для неумышленных инцидентов. Предполагается, что эти цифры могут возрасти в 2023 году.

Кроме финансовых потерь, Crowdstrike подчеркивает косвенные последствия. Например, ущерб для репутации и бренда организации.

Самые часто эксплуатируемые уязвимости:

1. CVE-2017-0213 (Windows) - уязвимость, позволяющая повысить привилегии через эксплуатацию инфраструктуры COM.

2. CVE-2022-0847 - DirtyPipe (Linux) - недостаток в управлении канальными операциями в ядре Linux.

3. CVE-2021-4034 - PwnKit (Linux) - уязвимость, влияющая на системную службу Polkit.

4. CVE-2019-13272 (Linux) - проблема, связанная с неправильной обработкой привилегий пользователя в процессах ядра.

5. CVE-2015-1701 (Windows) - ошибка в драйвере 'win32k.sys', позволяющая несанкционированное выполнение кода.

6. CVE-2014-4113 (Windows) – также направлена на компонент 'win32k.sys' в Windows, но для её эксплуатации используется иной подход.

Самые известные уязвимости, возникающие из-за неосторожности сотрудников:

1. CVE-2021-42013 (Apache HTTP Server) – уязвимость, связанная с обработкой сети на серверах Apache HTTP версий 2.4.49 и 2.4.50.

2. CVE-2021-4034 - PwnKit (Linux) - уязвимость в системной службе Polkit, связанная с доступом к несанкционированным областям памяти.

3. CVE-2020-0601 (Windows) - уязвимость подделки запросов в CryptoAPI Windows.

4. CVE-2016-3309 (Windows) - проблема эскалации привилегий в ядре Windows.

5. CVE-2022-21999 (Windows) - уязвимость эскалации привилегий в службе печати Windows.

Внедрение уязвимостей в корпоративные системы дает злоумышленникам, уже получившим доступ к сети, новые возможности для дальнейших атак.

Однако ещё большую опасность представляют фальшивые эксплоиты и инструменты для тестирования на проникновение, распространяющие вредоносное ПО.

Например, в мае злоумышленники распространяли поддельные эксплоиты для уязвимостей Windows, которые тайно устанавливали на компьютеры бэкдор Cobalt Strike.

В другой атаке исследователи Rapid7 обнаружили фальшивые эксплоиты для 0-day уязвимостей, инфицировавших системы Windows и Linux вредоносным ПО.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь