В числе тем, занимающих меня последние несколько лет, выделяется комплекс вопросов, имеющих отношение к защите. И не только в контексте «имеет ли пользователь А доступ к ресурсу В». Прежде всего, мое внимание привлекают вопросы, связанные с аутентификацией и авторизацией, и так по цепочке вплоть до защиты среды от возможных атак хакеров и утечек данных. Если рассматривать SharePoint как платформу, следует отметить, что за последние несколько лет она чрезвычайно разрослась, и теперь нам нужно заняться исследованием контактных зон для каждой системы и каждого сервера, входящих в состав решения, то есть зон, внутри которых может быть предпринята хакерская атака. В нынешних условиях задача обеспечения безопасности платформ несколько усложнилась. Дело в том, что все компоненты системы должны постоянно находиться в онлайн-режиме, и мы вынуждены все время искать баланс между интересами безопасности и соображениями удобства эксплуатации.
С чего же начать? Когда мы задумываемся над тем, как создать условия для безопасной работы той или иной системы, полезно уяснить, каким образом думают и действуют хакеры. Почти все люди, которые могли бы называть себя хакерами, разделяют одни и те же идеи. Для них характерна склонность к решению головоломок, стремление покрасоваться («смотрите, что я могу взломать») или просто желание во всех подробностях разобраться с тем, как работает та или иная система. Разумеется, существуют и другие типы хакеров, которые используют свои умения для нанесения ущерба либо достижения иных неблаговидных целей, однако упомянутая выше логика в любом случае помогает в поиске путей обеспечения безопасности систем.
Теперь, когда нам известны «особые мотивы» злоумышленников, мы можем принять их как руководство к действию, направляя процесс в несколько иное русло.
В предыдущей статье я показал, что SharePoint как продукт подключается ко многим другим системам и взаимодействует с ними. Отсюда следует, что контактная зона атаки не ограничивается серверами SharePoint. Изучение порядка сопряжения различных компонентов — это первый шаг в процессе создания необходимой защиты.
Если это первый шаг, то в чем состоят последующие?
Первым делом нужно вычленить решение во всей его полноте — не только базовые компоненты решения, но и все, с чем оно взаимодействует и к чему подключается. Эта модель состоит из тех же этапов, что и тест на проникновение.
Основные шаги, которые сделает хакер, перечислены ниже.
Обследование
Сначала идет этап сбора информации о целевом объекте. В данном случае это среда SharePoint. Для профессионалов в сфере ИТ это означает получение ответов на следующие вопросы:
- Какие данные хранятся в системе SharePoint?
- Могу ли я обнаружить там персональные данные?
- Есть ли в системе электронная таблица с именами пользователей и паролями?
- Имеется ли там идентифицируемая информация, которая не должна храниться в SharePoint?
- Имеются ли в системе элементы управления для идентификации названного выше?
- Могу ли я, просто зайдя на сайт SharePoint, обнаружить информацию, которая поможет мне организовать атаки с применением методов социальной инженерии?
- Имеются ли на сайте разделы, доступные извне?
- Активированы ли и защищены ли должным образом средства анонимного доступа?
Сканирование и перечисление
Здесь все просто, речь идет о возможности запустить некий инструмент или сценарии, которые попытаются идентифицировать решение SharePoint. Выполнить эту задачу помогут такие распространенные инструменты, как команды Ping (ICMP) или SYN. С помощью этих инструментов можно идентифицировать операционную систему и получить более подробные сведения вплоть до перечня выполняемых служб. В выходной строке демонстрационной команды Nmap представлен большой объем информации, полученной при выполнении команды (см. экран 1).
![]() |
Экран 1. Результаты работы команды Nmap |
Некоторые из упомянутых инструментов обладают еще более широкими возможностями и позволяют выявлять другие атаки, такие как SQL Injection, Cross Site Scripting, а также наличие у атакующей стороны ресурсов для преодоления базовых сетевых средств защиты.
Чтобы обеспечить защиту от упомянутых угроз, нужно рассмотреть возможность использования систем обнаружения, проследить за тем, чтобы брандмауэры на серверах были активированы и даже подумать о применении продуктов класса Anomaly Detection, таких как новый пакет Microsoft Advanced Threat Analytics или ему подобные. Эти инструменты выявляют статистические показатели использования ресурсов как пользователями, так и устройствами. Располагая сведениями о том, что считается «нормальным», они могут фиксировать отклонения от нормы (см. экран 2).
![]() |
Экран 2. Результаты работы Microsoft Advanced Threat Analytics |
Получение доступа
Получение доступа к системе под видом другого пользователя или даже способность повышать уровень привилегий для существующей учетной записи — это цели, к которым стремятся хакеры. Когда злоумышленник получит учетную запись с расширенными правами, никто не сможет помешать ему перемещаться с системы на систему и по различным сегментам сети. Однако зачастую цель злоумышленника состоит всего лишь в том, чтобы получить пароли; при этом задача повышения уровня привилегий оставляется на потом. Простые пути доступа к SharePoint пролегают через взлом слабых паролей в учетных записях служб SharePoint или даже во всех записях администраторов SharePoint Administrators с помощью учетной записи службы Farm Service для получения таких возможностей.
Часто злоумышленники пользуются «известными» паролями; это пароли, которыми они завладели в ходе ранее проведенных операций взлома информационных систем и затем добавили их в обширные словарные списки паролей. Такими списками сегодня могут оснащаться многие программы, осуществляющие атаки методом подбора. Для этих целей используются программы Medusa, Metasploit Modules или даже специализированные сценарии (см. экран 3).
![]() |
Экран 3. Результаты работы программы перебора паролей |
Если вы будете следить за безопасностью паролей и учетных записей, злоумышленникам будет труднее взломать их и использовать в качестве инструментов при проведении атаки.
Поддержание доступа и маскировка атаки
После успешного завершения атаки, когда уровень привилегий уже повышен, а учетные записи скомпрометированы, хакер берется за следующую цель: держать дверь открытой и замести следы. Устроить с помощью такого инструмента, как Metasploit, постоянную лазейку для входа в сеть не составляет никакого труда — программа работает безупречно.
Для блокировки хакерских лазеек подобного рода следует обеспечить оперативную установку на серверах последних обновлений и задействовать средство AppLocker либо другие технологии, предусматривающие управление процессами с помощью черных и белых списков (см. экран 4).
![]() |
Экран 4. Настройка AppLocker и результаты его работы |
Более подробные сведения об AppLocker можно получить на страницах сети Microsoft TechNet (https://technet.microsoft.com/en-us/library/dd723678(v=ws.10).aspx).
Когда вы начнете думать как хакер, то есть уделять больше внимания четырем ключевым факторам, которые учитывают злоумышленники, вы сможете организовать более эффективную защиту своих вычислительных систем:
- обследование;
- сканирование и перечисление;
- получение доступа;
- поддержание доступа и маскировка атаки.
Эти ключевые вопросы важны не только для тех, кто эксплуатирует системы SharePoint; о них следует помнить при работе с самыми разными объектами — от домашнего беспроводного маршрутизатора до инфраструктуры корпоративного каталога Active Directory. Перечисленные ниже статьи дают более глубокое представление о технических решениях, которые вы можете применить для проникновения в SharePoint, а также о некоторых ошибках в организации средств безопасности, которые вы, возможно, уже совершаете:
- Attacking the SharePoint Server from the Inside — Part 1 (https://www.helloitsliam.com/2015/02/11/attacking-the-sharepoint-server-from-the-inside-part-1/);
- Attacking the SharePoint Server from the Inside — Part 2 (https://www.helloitsliam.com/2015/02/18/attacking-the-sharepoint-server-from-the-inside-part-2/);
- SharePoint Security Mistakes you are Probably Making (https://www.helloitsliam.com/2015/12/01/sharepoint-security-mistakes-you-are-probably-making/).