Типовые сценарии атак на современные клиент-серверные приложения

©2016, ОАО «ИнфоТеКС».

Профиль современного клиент-серверного приложения

©2016, ОАО «ИнфоТеКС».

Примеры подобных приложений

Microsoft Exchange Server + Microsoft Outlook + Outlook

Web Access (OWA)

1С:Предприятие

ДБО ("Банк-клиент" и "веб-клиент") + АБС

Средства защиты информации (СЗИ)

Scada + HMI

©2016, ОАО «ИнфоТеКС».

Объекты атаки в клиент-серверном приложении

©2016, ОАО «ИнфоТеКС».

Основные угрозы при эксплуатации уязвимостей клиентской части выполнение произвольного кода и повышение

привилегий на клиентской машине ("толстый" клиент)

получение доступа к конфиденциальным данным

пользователя ("толстый" и "тонкий" клиент)

подмена пользовательских команд ("толстый" и

"тонкий" клиент)

атака на других пользователей приложения с позиции

легитимного пользователя

©2016, ОАО «ИнфоТеКС».

Основные угрозы при эксплуатации уязвимостей серверной части получение доступа к данным пользователей на

сервере

получение привилегий администратора приложения на

сервере

выведение сервера из строя (DoS)

выполнение произвольного кода и повышение

привилегий на сервере

©2016, ОАО «ИнфоТеКС».

Повышение привилегий на клиентском компьютереЦель – от имени пользователя выполнить код с правами «NT AUTHORITY\SYSTEM»

Анализ расположения

файлов ПО

Места поиска подключаемых

библиотек

Проверка подлинности

подгружаемых библиотек

Создание прокси-dll

Выполнение произвольного кода с правами

«NT AUTHORITY»

Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя

Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов

©2016, ОАО «ИнфоТеКС».

Выполнение команд с правами администратора приложения

©2016, ОАО «ИнфоТеКС».

Выполнение команд с правами администратора приложенияЦель – от имени администратора выполнять команды в контексте приложения

Анализ защищенности Front-

end

Вертикальное повышение привилегий

Атака на «Тонкого» клиента

администратора

Анализ защищенности

Back-end

Выполнение управляющих

команд

Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей

Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные

©2016, ОАО «ИнфоТеКС».

Получение доступа к данным других пользователей

©2016, ОАО «ИнфоТеКС».

Получение доступа к данным других пользователейЦель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени

Анализ защищенности Front-

end

Горизонтальное повышение привилегий

Атака на «Тонкого»

клиента пользователя

Атака с позиции администратора

приложения

Доступ к данным

пользователей

Результат – возможность выполнять операции от других пользователей, доступ к личным данным

Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ

©2016, ОАО «ИнфоТеКС».

Возможный сценарий атаки на банковскую систему

©2016, ОАО «ИнфоТеКС».

Общий вид

©2016, ОАО «ИнфоТеКС».

Служебный канал

©2016, ОАО «ИнфоТеКС».

Необрабатываемое служебное поле

©2016, ОАО «ИнфоТеКС».

Базовый вектор атаки

©2016, ОАО «ИнфоТеКС».

Фиктивная форма аутентификации

©2016, ОАО «ИнфоТеКС».

Отправка данных пользователей

Банк-клиент

Автоматизированная банковская система

Администратор«Тонкий» клиент

Веб-сервер нарушителя

©2016, ОАО «ИнфоТеКС».

А если на хосте живет еще кто-то?

©2016, ОАО «ИнфоТеКС».

Объекты атаки в клиент-серверном приложении

Спасибо! Вопросы?Пушкин АлександрНачальник отдела исследований информационных технологийЗАО «Перспективный мониторинг» ГК ИнфоТеКС