Examinar la seguridad del servidor de archivos de Windows con la mirada de un pirata informático (2)

El siguiente es un caso real de un ataque pirata informático en un servidor de archivos con el que se han encontrado autores especiales de TechTarget China. En la primera mitad de este artículo, le mostramos cómo encontrar un parche que no está instalado y cómo detectar la red para obtener información útil. ¿Cuáles son los próximos pasos?

Paso 3: Obtenga archivos confidenciales

Repito este tema una y otra vez porque el problema parece empeorar. El problema es que cualquiera que esté en la red puede acceder a esta información confidencial almacenada en servidores compartidos desprotegidos, generalmente aquellas carpetas públicas. Por que Mi opinión es que los administradores de red a menudo tienen demasiada información para administrar, y los usuarios a menudo realizan algunas operaciones descuidadas en sus archivos. Por supuesto, para la gestión empresarial, no hay duda de que la gestión de la seguridad de la información de identificación personal es muy importante.

Esto es lo que puede suceder:

Un usuario con permisos de dominio estándar (o un pirata informático que obtuvo un derecho de usuario legítimo) escanea la red para encontrar archivos compartidos. Por ejemplo, GFI LANguard puede traer este problema, tiene una herramienta integrada para encontrar recursos compartidos.

Encuentra recursos compartidos y luego intenta conectarlos uno por uno.

Encontró que había demasiados archivos, y luego decidió usar la función de búsqueda del navegador de Windows para filtrar, o herramientas más rápidas y más poderosas como la Búsqueda de archivos efectivos (EFS) para encontrar información confidencial.

Los atacantes buscan archivos de texto .doc, .xls, .txt y similares que contengan palabras clave como "ssn", "dob", "confidencial", etc. Sin lugar a dudas, mientras no busque cientos de documentos, encontrará algo útil.

Copió esta información y luego usó los permisos robados para daños mayores, como los competidores que se les vendieron.

Repita este tiempo y pruebe esta pregunta usted mismo. Encontrará que lo que dije no es falso. Qué herramientas están disponibles para encontrar el tipo de documento y las palabras clave que desea. Si su servidor de archivos es de acceso público (lo que generalmente está prohibido, pero veo mucho de esto), los piratas informáticos pueden hacer muchas cosas con las consultas de Google para obtener información confidencial del servidor. Para probar esto, recomiendo usar el Escáner de Vulnerabilidad Web de Acunetix, que tiene una función de escaneo incorporada en la base de datos de ataques Google (GHDB).

Paso 4: Investigue los ataques de seguridad del servidor de archivos indirectamente

Finalmente, es fácil encontrar otras vulnerabilidades en su red y es fácil causar que los servidores de archivos sean manipulados y atacados indirectamente. La mayoría de estos se deben a problemas de seguridad del dispositivo físico.

Un problema grave que quiero decir es que todos los usuarios pueden acceder a la interfaz de administración web de los dispositivos en algunos centros de datos, incluidos los usuarios que ingresan a través de otras redes inalámbricas inseguras en otros edificios. Peor aún, esta aplicación de administración del centro de datos se ejecuta con el usuario y la contraseña predeterminados. Esto significa que una vez que inicie sesión, puede deshabilitar el control de acceso, se puede cambiar la alerta de seguridad, se puede cambiar el archivo de registro, etc. Esta es una buena manera para que los piratas informáticos cubran las huellas del ataque.

Muchas veces he visto que los servidores de archivos están completamente abiertos al público (por lo general, en las empresas financieras ocupadas, las instituciones médicas, las redes están completamente abiertas a los sistemas de negocios locales). Estoy hablando de un entorno de red sin controles de seguridad, ni siquiera los controles de seguridad de dispositivos físicos más básicos. Estos servidores a menudo no están bloqueados en la pantalla, lo que puede llevar fácilmente a las puertas traseras del administrador.

Los piratas informáticos también pueden obtener información sobre las conexiones internas del sistema para que puedan ingresar al sistema y robar la información que necesitan cuando no hay nadie. ¿Es difícil descifrar un servidor de archivos de Windows? Debido a que los discos duros no están cifrados, todo lo que deben hacer los piratas informáticos es usar algunas herramientas como el CD Vivo de Ophcrack o ElcomSoft System Recovery para descifrar o restablecer la contraseña del sistema, incluida la contraseña del administrador. Por eso recomiendo el cifrado del disco duro del servidor, que es casi la última línea de defensa.

Finalmente, no te quedes inactivo

Por favor, recuerda que si un hacker puede hacer esto, debes probarlo tú mismo. Puede intentar atacar el servidor de archivos de Windows usted mismo, de manera maliciosa, para ver qué se puede hacer dentro y fuera de la red sin restricciones. Tenga en cuenta que debe prestar atención a la forma en que realiza estas pruebas, de modo que pueda utilizar las herramientas adecuadas, en el momento adecuado, con las herramientas adecuadas, etc.