Эксперты протестировали 23 компании, и в 61% из них был выявлен хотя бы один простой способ получить контроль над инфраструктурой, который под силу даже низкоквалифицированному хакеру. Специалисты отмечают, что легитимные действия, позволяющие развить вектор атаки, составили 47% от всех действий пентестеров (атакующих - прим. "РГ").
К ним относятся, например, создание новых привилегированных пользователей на узлах сети, создание дампа памяти процесса lsass.exe, выгрузка ветвей реестра или отправка запросов к контроллеру домена. Все эти действия позволяют получить учетные данные пользователей корпоративных сетей или информацию, необходимую для развития атаки. Опасность состоит в том, что такие действия сложно отличить от обычной деятельности пользователей или администраторов, а значит, атака остается незамеченной.
"В рамках внутреннего пентеста специалисты могут продемонстрировать возможность реализации бизнес-рисков или доступа к бизнес-системам, - рассказывает руководитель исследовательской группы отдела аналитики Positive Technologies Екатерина Килюшева. - Для каждой компании перечень рисков будет отличаться, хотя есть и общие пункты, например, компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов нашим экспертам удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты".
Тестирование показало, что злоумышленник может эксплуатировать известные уязвимости, которые содержатся в устаревших версиях ПО и позволяют удаленно выполнить произвольный код на рабочей станции, повысить привилегии или узнать важную информацию. Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров Positive Technologies, в 30% компаний до сих пор можно обнаружить уязвимости ОС Windows, описанные в бюллетене безопасности 2017 года MS17-010, а в некоторых даже MS08-067 (октябрь 2008 года).