WebDAV to oparte na HTTP rozwiązanie, pozwalające wielu użytkownikom zarządzać zdalnie plikami przechowywanymi na maszynach WWW (oraz edytować je w tym trybie). Opracowując raport, eEye Digital Security chciała nie tylko obnażyć słabości protokołu WebDAV, ale sprowokować dyskusję na szerszy temat dotyczący tak ważnej kwestii, jak zapewnienie działom IT bezpieczeństwa poprzez odpowiednie zarządzanie konfiguracją oprogramowania obsługującego dane środowisko.

Aby podkreślić wagę zagadnienia, raport podaje przykład. Okazuje się, że wprowadzając dwie proste zmiany do konfiguracji oprogramowania Microsoft (blokada protokołu WebDAV oraz wyłączenie konwertera plików Office), użytkownicy mogli w zeszłym roku znacznie zwiększyć bezpieczeństwo swoich systemów IT. W raporcie można przeczytać, że wprowadzając te dwie zmiany, użytkownicy mogli zlikwidować 12% luk, które Microsoft wykrył i załatał w 2010 r. w swoim oprogramowaniu.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Niebezpieczny WebDAV

eEye Digital Security pisze w raporcie, że włamywacze coraz częściej wykorzystują protokół WebDAV, aby przejmować kontrolę nad zdalnym komputerem. W sierpniu 2010 r. włamywacze przeprowadzili serię ataków znanych pod nazwą "DLL Hijacking". Polegały one na zamianie oryginalnego pliku DLL używanego przez protokół WebDAV na plik DLL zawierający złośliwy kod. Microsoft nie mógł wtedy sam zlikwidować zagrożenia. Było to możliwe dopiero wtedy, gdy niezależni dostawcy oprogramowania wykorzystującego protokół WebDAV wprowadzili również do oferowanych przez siebie aplikacji odpowiednie poprawki.

eEye radzi administratorom, aby kontrolowali protokół WebDAV i konfigurowali polityki bezpieczeństwa oraz wymuszali ich stosowanie za pomocą opracowanego przez Microsoft systemu GPO (Group-Policy Object). Zadanie filtrowania protokołów i wyłączania WebDAV można też realizować, wykorzystując do tego celu rozwiązania IPS (Intrusion-Prevention System). Ruch WebDAV należy jednak blokować po wcześniejszym upewnieniu się, że żaden z wewnętrznych systemów nie korzysta z niego.

Inne zagrożenia

Kolejne zalecenie w raporcie dotyczy wyłączania podsystemu Microsoft NTVDM (NT Virtual DOS Machine). To wirtualna maszyna Windows świadcząca usługi emulujące 16-bitowe funkcje, oferowane starszym programom uruchamianym na komputerze. Microsoft zlikwidował w 2010 r. dwie luki zidentyfikowane w tym podsystemie, udostępniając poprawki MS10-015 i MS10-098.

Raport zachęca też do stosowania serwerów proxy. Firmy powinny konfigurować takie serwery i kierować do nich cały ruch sieciowy (a nie tylko generowany przez określone aplikacje), zanim ten trafi do internetu. Dlaczego? Ponieważ serwer proxy stanowi kolejny i dodatkowy próg, który włamywacz musi pokonać, zanim dostanie się do naszej sieci. Spora część złośliwego oprogramowania nie jest bowiem w stanie pokonać takiej przeszkody. Kiedy malware próbuje połączyć się z zainfekowanym hostem, często kończy się ono właśnie na serwerze proxy.

W innej poradzie dotyczącej konfiguracji oprogramowania w raporcie zaleca się, aby cały wewnętrzny ruch wymieniany między poszczególnymi hostami i siecią był szyfrowany. Dotyczy to też pakietów transmitowanych wewnątrz sieci VLAN, jak i wymienianych między takimi sieciami. Chodzi o to, aby włamywacz nie mógł zagnieździć wrogiego oprogramowania w fizycznej sieci i następnie śledzić pakiety, oraz aby nie miał dostępu do współużytkowanych zasobów sieciowych.

Twórcy raportu twierdzą, że ich porady mogłyby - jeśli nie zapobiec dwóm najpoważniejszym i najczęściej komentowanym włamaniom do systemów komputerowych, z jakimi mieliśmy do czynienia w 2010 roku - to na pewno znacznie ograniczyć skutki ich działania. Chodzi o atak Aurora (przeprowadzony prawdopodobnie z terytorium Chin; włamywacze skradli wtedy z witryny Google różne poufne informacje i dane osobowe aktywistów ruchu praw człowieka działających w tym kraju) oraz Stuxnet. Według opinii specjalistów jest to jeden z najlepiej napisanych złośliwych programów, z jakim mieliśmy do tej pory do czynienia.