Zero Trust Soldier

Enda en alvorlig sårbarhet. Windows LDAP CVE-2024-49112.

Det er veldig mange med denne løsningen, og dermed denne sårbarheten.

Det er mange artikler der ute, og jeg velger å linke til en fra Mnemonic:

https://www.mnemonic.io/resources/blog/advisory-critical-vulnerability-in-windows-ldap-cve-2024-49112/

Microsoft recommended workarounds:

• Ensure that domain controllers are configured to not access the Internet (note: this is likely not feasible for most organisations)
  • (VG testen)
• Ensure that domain controllers are configured to not allow inbound RPC from untrusted networks
  • “Suksessfulle hendelser skjer i tillatt trafikk, og de beste hendelsene er de som ikke skjer”

(Jeg er IKKE enig med uttalelsen til Mnemonic på det første punktet. Det er riktig at noen trenger tilgang til internett, men det betyr ikke at man er sjakk matt, da man kan/bør/må begrense hva som skal tillates. Her snakker vi adressering av VG testen)

Hva er mer basic enn dette? Altså, det står naturligvis at man skal patche, men de to tingene her handler om proaktiv og preventiv sikkerhet. En sårbarhet blir mer alvorlig når grunnleggende sikkerhet er mangelfull.

Årshjulet for 2025

Har dere et årshjul? Hvordan ser det ut for 2025? Er det ikke fristende å legge inn sånne grunnleggende tiltak som egentlig ikke tar så lang tid å implementere, og så er man «ferdig» med det. Vi snakker tiltak som har vedvarende sikkerhets verdi.

Forslag til årshjulet for 2025

• Adressér VG testen. Dette er litt jobb, men ikke mer enn at man er ferdig på et par uker. Dette gjelder de aller fleste. Dette har effekt mot mange forskjellige aktiviteter.
• Øk graden av segmentering. Dette gjelder både i eget datasenter og i skyen. Man trenger ikke å segmentere ut alt, men start med det viktigste, som f.eks DC. Skiller man dem ut fra nettverket med alle andre tjenester, kan kan begrense tilgang med brannmuren, man begrenser angrepsflaten og dermed sårbarheter og risiko.
• Bedre Least Privilege. Det er alltid en grad av segmentering i nettverkene. Allikevel er tilgangskontrollen mellom segmentene altfor ofte meget liberal. Jobb med optimalisering av dette med et Least Privilege mindset. Start med reglene fra internett og inn, deretter fra innsiden og ut (VG testen), og så internt (start med kommunikasjon mot servere og systemer)

Konklusjon. Hør på Sinnasnekkern

Dette er tre punkter. Ikke mange. Dette er tre punkter som er årshjul for 2025 burde ha ferdig adressert i første kvartal, for det er mulig. Og det vet jeg, fordi det er dette jeg hjelper kunder med hele tiden. Og det er mange der ute som ber om hjelp med dette, fordi det er mange som har denne tekniske «gjelden».