¿Puede una PC con Windows 7 con uso compartido de carpetas y escritorio remoto deshabilitado, todavía puede ser penetrado por una computadora maliciosa en el mismo WiFi o LAN?

Navega tus respuestas
5

Suponga que la red ya está penetrada y que el atacante ya controla completamente otra PC.

Aparte de configurar un proxy para interceptar el tráfico de todos los demás sistemas en la red y usarlo para inyectar tráfico fraudulento. Aparte de eso, ¿cuáles serían los vectores para que un atacante intente infiltrarse directamente en una de las computadoras en esta red? Más importante aún, ¿cuáles serían los pasos de mitigación correspondientes?

Nota:

  1. El propósito de esta pregunta es principalmente educativo / teórico. Por lo tanto, se prefieren los pasos de mitigación requeridos (por muy pocos que haya) aparte de "instalar un AV".

  2. Todos los ataques se realizarían a través de la red. No hay transferencia de medios físicos entre la computadora infectada y la (para) estar protegida. Además, puede asumir que no hay almacenamiento compartido (NAS, etc.), ni carpetas compartidas, credenciales compartidas (grupos de usuarios), RDP / VNC, etc. en CUALQUIERA de las computadoras.

  3. Sin embargo, aparte de lo anterior, no se han tomado más medidas de endurecimiento.

  4. La principal preocupación es el robo de datos. (en caso de que sea importante, o si puede ayudar a reducir el alcance de la pregunta)

  5. Esta pregunta está intencionalmente limitada a Windows 7 para limitar el alcance de las respuestas y para proporcionar algunas condiciones preexistentes y limitantes adicionales (uso compartido de carpetas y RDP desactivado). Sin embargo, si la naturaleza esencial de las amenazas de PC a PC dentro de la red no varía mucho, también se agradecerá una respuesta neutral para la plataforma.

  6. Si la pregunta todavía es demasiado amplia, agradecería que me orienten en la dirección de una guía informativa (si es técnica), o incluso un punto de partida para obtener dichas guías (técnicas / detalladas).

pregunta someonenoone 05.07.2015 - 20:49
fuente

2 respuestas

4

Hay algunos escenarios posibles, incluso después de asumir que Man in the Middle no está sucediendo.

Parches faltantes:

Si a su sistema le falta un parche que permita RCE, es una ganancia fácil. Hay un montón de vulnerabilidades remotas que existen , y nuevos de vez en cuando. Mitigación: parchea tu sistema

¿Estás en un dominio?

No mencionaste Windows 7 Home o Professional. Si su máquina pertenece a un dominio de Windows, y se compromete otra máquina en su red, está en problemas. Una vez que el atacante obtiene el Administrador del dominio, puede controlar su PC con bastante facilidad. Mitigación: ¿Desactiva su tarjeta de red y llora?

Configuraciones predeterminadas:

Windows tiene una serie de configuraciones predeterminadas inseguras. LLMNR es uno de ellos y es fácil de explotar. Mitigación: deshabilitar LLMNR & NBT-NS (vea la parte inferior de ese enlace)

SPExec

Sé que mencionó que no está compartiendo carpetas, pero ¿están cerrados los puertos 139 y 445? Lea las capacidades de PSExec .

Aplicaciones vulnerables

Ejecuta NETSTAT en tu PC. Es posible que algunas aplicaciones que haya instalado escuchen en un puerto una conexión entrante. Si hay una vulnerabilidad aquí, deja una oportunidad para un exploit remoto.

Mitigaciones?

Parches obviamente. OSSEC es una buena herramienta que va más allá de AV, en la que puede recibir alertas cuando ocurren eventos en su PC que normalmente no deberían ocurrir. También revise sus registros de eventos de Windows, revise sus AutoRuns (y use la integración de VirusTotal), verifique su escuchar puertos (con NETSTAT ) y cambiar las contraseñas a menudo.

    
respondido por el KDEx 06.07.2015 - 07:49
fuente
0

La seguridad es un proceso en el que se descubren nuevos errores de software de vez en cuando. A veces por personas buenas y otras por personas malas.

Los errores de software se pueden descubrir tanto en el software del usuario, como en Excel, como en la pila de red del sistema operativo. Windows 7 se basa en un código bastante bien probado, en el que se encontraron y corrigieron cientos de vulnerabilidades remotas durante los últimos 15 a 20 años, pero aún así es teóricamente posible que alguien ingrese a su sistema simplemente explotando a los vulnerables OS.

Solo lea algunos artículos de seguridad de 90-ties sobre cualquier SO a imagen, sobre lo que estoy escribiendo.

Pero tranquilícese: en la actualidad, el nivel de dificultad para acceder a la "seguridad" (bien configurada, se aplicarán los parches de seguridad actuales, el antivirus y el firewall instalados) es bastante alto. Así que no se preocupe y, en su lugar, simplemente verifique si su computadora está protegida, como mencioné anteriormente.

    
respondido por el Tomasz Klim 05.07.2015 - 23:40
fuente

Lea otras preguntas en las etiquetas

¿La clase ProtectedData sigue siendo un método aceptable para almacenar contraseñas? GPG: Separando las subclaves públicas, ¿por qué no puedo hacerlo?