Start today, secure tomorrow.

When your clients network looks like the OSCP-labs

By Sara Jan 10, 2018

Just another day at work. Ik klap m’n laptop open en begin aan de klus van vandaag: het testen van het netwerk van een klein bedrijf dat onder meer met gevoelige klantdata werkt. Hacken is hot en happening, en omdat klanten van de opdrachtgever daadwerkelijk zijn gehackt, wil hij weten hoe het met zijn security gesteld is. Zijn gevoel? We vinden vast wel wat, maar over het algemeen heeft hij zijn ICT aardig op orde.

Allereerst een geautomatiseerde scan van de services die beschikbaar zijn vanaf het internet. Webmail is beschikbaar, no surprise there. Wel een oudere versie, kwetsbaar voor een denial-of-service aanval. Door met de inventarisatie: er draait een verouderde IIS-webserver die kwetsbaar is voor een remote code execution uit 2015. Dat geeft te denken… dat zou al lang gepatcht moeten zijn. False positive? De afspraak is helaas dat ik kwetsbaarheden alleen zal inventariseren, niet misbruiken, dus met zekerheid kan ik het niet zeggen. Dat zal later in de test, whitebox, nog moeten blijken.

Door met een scan van het interne netwerk. Vrijwel meteen komt EternalBlue naar voren, waarmee ik de domainserver kan overnemen. Ik kijk een beetje rond op de machine en check de antivirus. De security-alerts spatten van het scherm: op de helft van het netwerk is antivirus niet geïnstalleerd, de andere helft heeft kritieke meldingen waar nodig naar gekeken moet worden. Oeps. Even het patchmanagement checken: de laatste patches zijn van bijna drie jaar geleden! Hier ligt toch echt wat achterstallig onderhoud, denk ik bij mezelf.

Met de domainserver al in mijn zak, scan ik de rest van het netwerk. Wanneer de resultaten binnenkomen, begin ik onwillekeurig te grijnzen en mijn hart maakt een sprongetje. Dit lijkt wel de speeltuin die het OSCP-lab is! And I don’t even have to try harder! Alle softwarecomponenten die ik tegenkom zijn verouderd; de meeste kennen bekende kwetsbaarheden. Mijn brein gaat áán: sneller dan ik tikken kan bedenk ik wat ik hier allemaal mee kan. Oh ja, bij de les blijven, ik zit bij een klant. Ik poets de grijns van mijn gezicht en begin alle resultaten te verifiëren en te loggen voor de rapportage.

Onderweg naar huis denk ik na over de test, toch wel verbaasd over wat ik heb aangetroffen. Voor mij een speeltuin, maar voor de klant een garantie voor financiële en/of imago-schade; het is niet de vraag óf maar wanneer dit mis zou gaan. Veilige ICT is niet altijd makkelijk, maar wanneer alleen al de basis “cyber hygiëne” regels waren gevolgd -een actief securitybeleid, waarin zaken als updates van Windows, status en onderhoud antivirus, updates van softwarecomponenten en -configuraties op zijn minst periodiek gecontroleerd worden- had deze omgeving er heel anders uitgezien. Het goede nieuws? We hebben een tevreden klant die zich nu bewust is van de risico’s en weet wat hem te doen staat!

Pentesting