È l’inizio del 2022, un periodo in cui ci aspettiamo le previsioni dei problemi di sicurezza per i prossimi mesi. Ma è anche il momento in cui è utile guardare indietro ai problemi di sicurezza che abbiamo già affrontato per assicurarci di aver compreso tutte le lezioni necessarie e gli errori da non ripetere.

Attacco SolarWinds: conoscere la postura di sicurezza dei propri fornitori

È passato più di un anno da quando l’attacco alla catena di fornitura del software SolarWinds ha fatto notizia e stiamo ancora cercando di comprendere appieno il potenziale di questo tipo di attacco. Gli aggressori erano sono stati scoperti solo perché una delle aziende colpite, FireEye, aveva capacità superiori per monitorare e rilevare le intrusioni.

Chiediamoci se, in questa situazione, la nostra azienda avrebbe gli strumenti e le risorse per riconoscere un tale attacco. La mia ipotesi è che molte aziende non sarebbero consapevoli di questa intrusione, e molte non avrebbero nemmeno le risorse per farlo. Secondo Microsoft, l’autore dell’attacco è stato in grado di “forgiare token SAML che impersonano qualsiasi utente e account esistente dell’organizzazione, inclusi account con privilegi elevati”. Questo ci porta a considerare la fonte del software che installiamo e chiederci se ci possiamo fidare dei nostri fornitori e dei loro processi di sicurezza, oltre che dei nostri processi di sicurezza.

Lezioni apprese: valutare con i fornitori di software i loro processi di sicurezza. Cercare comportamenti anomali soprattutto negli account con privilegi elevati. Rivedere quando vengono creati nuovi trust federativi o aggiungere credenziali ai processi che possono eseguire azioni come mail.read o mail.readwrite.

Attacco Exchange Server: proteggere i sistemi legacy

A marzo 2021 si è verificato un attacco molto dirompente. I server Exchange installati localmente sono stati attaccati direttamente utilizzando una falla zero-day. Inizialmente Microsoft ha dichiarato che gli attacchi erano mirati, ma in seguito si è riscontrato che gli attacchi erano molto più diffusi. Microsoft ha anche scoperto che molti server di posta erano terribilmente obsoleti nell’applicazione delle patch, quindi era difficile aggiornarli rapidamente. Microsoft ha dovuto preparare patch per piattaforme meno recenti per proteggere i clienti. L’FBI è arrivata al punto di pulire e correggere in modo proattivo i server Exchange che non erano ancora protetti.

Lezioni apprese: assicuratevi che qualsiasi server legacy sia protetto. Soprattutto i server Exchange locali, che sono più spesso presi di mira. Assicuratevi di assegnare le risorse appropriate per applicare le patch a questi sistemi legacy. L’email è un punto di ingresso chiave per le reti sia in termini di attacchi di phishing sia perché gli aggressori comprendono la difficoltà di applicare patch a questi server, che risultano più a rischio.

Inoltre, non fate necessariamente affidamento sulla valutazione delle minacce e dei rischi fornita dal provider. Microsoft ha inizialmente indicato che gli attacchi erano limitati e mirati, ma si sono rivelati molto più diffusi e hanno avuto un impatto sulle piccole imprese.

PrintNightmare: tenere aggiornate le stampanti

Un altro grave incidente di sicurezza è quello con cui abbiamo ancora oggi, a distanza di quasi sei mesi. A luglio 2021 Microsoft ha rilasciato un aggiornamento out-of-band per una vulnerabilità denominata PrintNightmare. Per gli amministratori di rete, PrintNightmare si è trasformato in un incubo per la gestione della stampa. Il software dello spooler di stampa è un vecchio codice dell’era NT che molti invitano Microsoft a riscrivere completamente, ma ciò causerebbe gravi interruzioni ai fornitori di stampa di terze parti. Mentre la pandemia ci ha allontanato dalla stampa di persona a processi di stampa più remoti, anche le stampanti PDF si affidano allo spooler di stampa per distribuire e stampare su PDF.

Stiamo ancora monitorando gli effetti collaterali delle patch multiple relative allo spooler di stampa che sono state rilasciate da allora. Negli aggiornamenti facoltativi rilasciati alla fine di dicembre è stata inclusa una correzione per diversi problemi relativi alla stampa. Risolve i problemi in cui i client di stampa Windows potrebbero riscontrare i seguenti errori durante la connessione a una stampante remota condivisa su un server di stampa Windows:

  • 0x000006e4 (RPC_S_CANNOT_SUPPORT)
  • 0x0000007c (ERROR_INVALID_LEVEL)
  • 0x00000709 (ERROR_INVALID_PRINTER_NAME)

Alcuni amministratori di rete hanno preferito non aggiornare le patch a causa degli effetti collaterali dirompenti di questi aggiornamenti.

Lezioni apprese: anche durante la pandemia abbiamo ancora bisogno di stampare. Ogni volta che un aggiornamento include una correzione per il servizio spooler di stampa, è necessario assegnare le risorse appropriate da testare prima dell’aggiornamento. Piuttosto che lasciare la vostra azienda senza protezione, potete usare risorse di terze parti come PatchManagement.org o il forum Sysadmin su reddit per monitorare gli effetti collaterali e le soluzioni alternative. Il servizio spooler di stampa deve essere disabilitato su server e workstation dai quali non è necessario stampare ed essere in esecuzione solo su dispositivi e server che devono avere la stampa abilitata.

Ransomware: bloccare le comunicazioni RPC e SMB

Tra gli incidenti di sicurezza che vedremo nel 2022, il ransomware sarà ancora un grosso rischio. Ora è integrato nelle polizze assicurative informatiche e il governo degli Stati Uniti ha organizzato task force per fornire maggiore protezione, informazioni e guida alle aziende per affrontarlo.

Lezioni apprese: utilizzare i firewall locali e di rete per impedire la comunicazione RPC e SMB. Ciò limiterà movimenti laterali e altre attività di attacco. Quindi, attivare le funzionalità di protezione contro le manomissioni per impedire agli aggressori di interrompere i servizi di sicurezza. Imporre password di amministratore locale forti e casuali, utilizzando per esempio Local Administrator Password Solution (LAPS) per generare password casuali.

Monitorare la cancellazione dei registri degli eventi. In particolare, Windows genera l’evento di sicurezza ID 1102 quando ciò si verifica. Assicuratevi che le risorse con connessione a Internet dispongano degli ultimi aggiornamenti di sicurezza e controllate regolarmente queste risorse per attività sospette. Infine, determinate dove gli account con privilegi elevati accedono ed espongono le credenziali. Monitorare e analizzare gli eventi di accesso (evento ID 4624) per gli attributi del tipo di accesso. Gli account con privilegi elevati non dovrebbero essere presenti sulle workstation.