Windows 2003 sem suporte: por que você deveria se preocupar

Windows 2003 sem suporte: por que você deveria se preocupar?

Anderson Rios Senior Technical Account Manager Wesly Alves Systems Engineer

Bruno Nazareth, CISSP Senior Systems Engineer

Apresentadores

Copyright © 2015 Symantec Corpora=on 2

Anderson Rios

Bruno Nazareth

Wesly Alves

PorFfolio Symantec


Serviços de Cyber Segurança •  Monitoramento, Resposta a Incidentes, Simulação, Inteligência contra

Ameaças

Proteção contra Ameaças

ENDPOINTS DATA CENTER GATEWAY

•  Prevenção de Ameaças, Detecção, Forense & Resposta

•  Disposi=vos, Email, Servidores, Virtual & Cloud •  Disponível On-‐premise e Cloud

Plataforma Unificada para Análise de Segurança •  Análise de segurança através de Big data; disponível self-‐service

Telemetria Gerenciamento de Incidentes

Engines de Proteção

Inteligência Global

Análise de Ameaças

Proteção da Informação

DADOS ACESSO

•  Proteção de Iden=dade e DLP

•  Gerencia de Chaves .Cloud •  Cloud Security Broker

Usuários

Dados

Apps

Cloud

Disposi=vos

Rede

Data Center

Copyright © 1984 Michael Jackson’s Thriller

CENÁRIO DE AMEAÇAS ASCENDENTE

ATACANTES MAIS ÁGEIS EXTORSÃO DIGITAL EM ALTA MALWARE MAIS INTELIGENTE

AMEAÇAS DIA-‐ZERO DIVERSOS SETORES SOB ATAQUE

5 em 6 grandes empresas atacadas

317M novos

malwares criados

1M novas ameaças por dia

60% focados em SMB

113% aumento de ransomware

45X mais disposiBvos sequestra-‐

dos

28% dos malwares

detectam VM

Recorde geral

Top 5 vulnera. sem patch por 295 dias

24 Saúde + 37%

Finanças +6%

Educação+10%

Governo +8%

Varejo +11%

Fonte: Symantec Internet Security Threat Report 2015 5

EsFmaFva de Servidores W2K3 em Uso

hhp://news.netcral.com/archives/2015/08/12/millions-‐s=ll-‐running-‐the-‐risk-‐with-‐windows-‐server-‐2003.html 6

Copyright © 1985 Capcom

Timeline do Windows 2003

hhps://en.wikipedia.org/wiki/Windows_Server_2003

7 Copyright © 2009 PopCap Games

Quiz

De acordo com o CVE quantas vulnerabilidades do Windows 2003 foram

publicadas? Entre com sua resposta no Chat do Webex.

30 SEGUNDOS de TEMPO

Vale 1 Mochila Bacana da Symantec!

Copyright © 1991 LucasArts 8

Resumo das Vulnerabilidades

Copyright © 2012 Laika Entertainment 9

E agora?

•  Opção 1: –  Desliga tudo

•  Opção 2: –  Instalar An=virus

•  Opção 3: –  Baseline e Sandbox?

Copyright © 2010 AMC 10

Cara de TI (Você)

Symantec Datacenter Security: Server Advanced


Registro

Arquivos de Configuração

Armazenamento Externo

Aplicações

Sistema Operacional

Memória

Garantir Integridade do Registro

Garantir Integridade dos Arquivos

Implementar Proteção de Memória

Aplicar Controles a Rede

Forçar o Controle de Dispositivos

Controle de Atividade das Aplicações

Matriz de CompaFbilidade


Como Funciona?

•  O Datacenter Security: Server Advanced encapsula cada aplicação, processo ou DLL numa “sandbox”.

•  A sandbox controla acesso aos recursos (Filesystem, Memória, Rede, Configurações, Disposi=vos) de acordo com a polí=ca.

•  Implementação rápida, Symantec já mapeou as funcionalidades e permissões que cada componente da Microsol precisa para operar.

•  As polí=cas pré-‐definidas permitem funcionamento normal dos processos, mas bloqueiam o comportamento que não é necessário (malicioso) tais como: –  Estouro de memória para permi=r a inserção de código malicioso nas áreas de execução.

–  Interação com outros recursos para, por exemplo, matar um processo legí=mo.


Como Funciona?

•  Essa abordagem é diferente de técnicas de Lockdown : –  Protegemos o SO sem depender de perfis ou versões iden=cas de aplicações.

– Mesmo se uma aplicação es=ver liberada (whitelist), ela não terá acesso irrestrito e será tratada por uma sandbox.

•  DCSSA automá=camente restringe processos ou aplicações “desconhecidas” numa sandbox BEM restrita.

•  “Virtual Patch” protege o sistema contra uma única vulnerabilidade conhecida. Por sua vez, o DCSSA bloqueia o VETOR DE ATAQUE que pode ser u=lizado por outras vulnerabilidades que poderão ser descobertas.


Exemplos de vetores de ataques


Estratégia de Ataque MiFgação com DCSSA

Implantar programas maliciosos e executáveis no disco

•  Bloqueio por padrão de inserção ou modificação de componentes executáveis (CMD, EXE, DLL, SYS, etc.) no sistema por usuários ou programas não confiáveis.

•  Proíbe a inserção ou modificação de qualquer arquivo (ou qq =po de extensão) em áreas crí=cas (exemplo Windows/system32).

Criação ou modificação de chaves de registro crí=cas ou arquivos de configuração

•  Usa mecanismos para prevenir que exploits alterem configurações que permitam execução após um reboot.

Comando e Controle Remoto (phone home)

•  Limita acesso a rede para os processos que tentarem se comunicar com sistemas externos.

•  Oferece configurações de firewall para bloquear a=vidades e controlar acesso a rede por programa, usuário, porta, protocolo e endereço IP.

Buffer Overflow e Injeção de Código •  Garante que solware autorizados não sejam sequestrados por injeção de código através de buffer overflow ou “thread injec=on”.

Abuso ou Escalação de Privilégios •  Trata cada processo privilegiado como um outro qualquer. Dessa forma não podem violar as polí=cas de controle mesmo que o Windows permita acesso completo ao sistema.

Demonstração

16

Ambiente de Demonstração

•  1 Servidor de Gerenciamento (Datacenter Security) – Windows 2008

•  1 Servidor Legado – Windows 2003 – SP2, An=virus e Datacenter Security Client

•  1 Máquina “Hacker” –  Kali Linux 2.0

•  Vulnerabilidade Explorada –  CVE-‐2008-‐4250


Novas Vulnerabilidades…


Riscos Associados a Implementação e Estratégias de MiFgação

•  DCS:SA possui um histórico de implementações em Windows 2003 que demonstra um risco muito baixo. Mesmo assim, estratégias de mi=gação devem ser levadas em consideração:

19

Risco Probabilidade Estratégia de MiFgação

Sistema não inicializa Muito Baixa

•  Reiniciar antes de instalar o DCSSA. •  Agendar lotes de distribuição. •  Backup/Restore •  Servidores Redundantes

Tela Azul Muito Baixa

•  Roll-‐back: boot em modo seguro e desinstalar. •  Backup/Restore •  Imagem (P2V) e teste/distribuição em ambiente virtual. •  Testar primeiro em homologação.

Driver SISIPS Driver não inicia após reboot Muito Baixa •  Reiniciar antes de instalar o DCSSA

PolíFcas Genéricas bloqueiam Aplicações LegíFmas

Muito Baixa

•  Usar o Modo de Monitoração para testar a polí=ca antes de implementar •  Permi=r administrador de alterar a polí=ca local para restaurar a

funcionalidade instantâneamente. •  Ter uma representação idên=ca em homologação dos servidores de

Produção. (LoL!) Sem comunicação Cliente-‐Servidor Baixa •  Verifique se todas as portas corretas estão abertas.

•  Analisar logs e verificar se existe problemas de comunicação.

Copyright © 2015 Symantec Corpora=on

Riscos Associados a Criação de PolíFcas e Estratégias de MiFgação

•  Organizações podem u=lizar polí=cas personalizadas para cada aplicação.

•  As seguintes considerações devem ser avalidas ao criar polí=cas personalizadas:

20

Risco Probabilidade Estratégia de MiFgação

PolíFcas Personalizadas bloqueiam Aplicações LegíFmas

Média

•  Use o Modo de Monitoramento (Prevenção Desabilitada) •  Crie polí=cas efe=cas atráves de uma metodologia de teste •  Permi=r administrador de alterar a polí=ca local para restaurar a

funcionalidade instantâneamente. •  Ter uma representação idên=ca em homologação dos servidores de

Produção. (LMAO!)

Criação de PolíFcas demora muito Média

•  Crie inicialmente polícitas abrangente e aperte a segurança aos poucos •  Tenha foco na criação das polí=cas •  Ter uma representação idên=ca em homologação dos servidores de

Produção. (ROFL!)

Muito ruído é gerado para criar uma políFca efeFva Média •  Crie uma polí=ca inicial que reduza o ruído inicial (exemplo: permita

processos do %windir%\system32 acessar e modificar o registro).

Copyright © 2015 Symantec Corpora=on

Black Hat 2015 Datacenter sem patches, mas protegido pelo DCS:SA, conFnua sem invasões pela terceira vez ($5.000 de recompensa) •  Ambiente– “Mini Data Center” com servidores Windows 2000 & 2003, RHEL, CentOS, desktops (Windows XP e 7), além de um appliance NetBackup: –  Solware de Ponto de Venda nos desktops com comunicações para os servidores que

processavam transações; –  DCS:SA firewall deixado completamente aberto intencionalmente; –  Configurações default além da falta de patches.

•  ObjeFvo– “capture the flag” (obter acesso e roubar dados) e ganhe prêmios!

•  Jogadores – ~40 simultaneamente, entre membros do U.S. DoD e congressisstas da China e Rússia.

•  Ataques – uma variedade de ataques aplicados, incluídos: –  Força Bruta para quebra de senhas (mais de 400 de login por minuto); –  Ataques diretos do Metasploit; –  Tenta=vas de desligar os serviços DCS:SA (através do help online… J).

•  Resultado – DCS:SA segurou a onda, ninguem levou os $5.000… Copyright © 2015 Symantec Corpora=on

21

Beneqcios do DCS:SA

•  Capacidade Técnica — HIPS/HIDS completo, com inúmeras polí=cas na=vas para proteção de sistemas e aplicações.

•  Histórico Comprovado — as tecnologias de HIPS/HIDS no Symantec DCS:SA defendem sistemas operacionais legados (até Windows NT) há 11 anos.

•  Protege sistemas contra vulnerabilidades conhecidas e desconhecidas ao limitar o escopo de recursos que usuários e programas u=lizam na operação do dia a dia.

•  Implementação Rápida— e possibilidade de retorno a configuração anterior com boot em Modo Seguro.


Dúvidas?


Obrigado!

Copyright © 2015 Symantec CorporaFon. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corpora=on or its affiliates in the U.S. and other countries. Other names may be trademarks of their respec=ve owners.

This document is provided for informa=onal purposes only and is not intended as adver=sing. All warran=es rela=ng to the informa=on in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The informa=on in this document is subject to change without no=ce.

Anderson Rios

Wesly Alves

Bruno Nazareth

Convite: Semana que vem 21/10 as 10:30: Gerenciando os a=vos de TI dentro e fora da rede Corpora=va

Technology

Windows 2003 sem suporte: por que você deveria se preocupar