Тестирование на безопасность организаций с помощью метаданных.

Метаданные представляют собой, как бы это просто не звучало, информацию о других данных. В компьютерных системах они используются для правильной интерпретации файлов и хранения их описательных атрибутов. Хотя метаданные не всегда видны, они хранят гораздо больше информации о файле, чем изначально вкладывал в него создатель. Как только документ и его метаданные становятся общедоступными, это может неосознанно помочь атакующему проникнуть в уязвимую корпорацию.

Как пентестеру, мне часто дают неделю времени, чтобы я нацелился на публичную среду клиента с целью взлома его внутренней сети. Эта форма пентестинга дает возможность заказчику оценить эффективность своих защитных решений и скорость реакции команды безопасности на имитацию угрозы, а также выявить все уязвимости для их дальнейшего устранения. Однако, имея только одну неделю в запасе, сделать это довольно сложно.

В ход идут метаданные!

Этот процесс включает в себя все: начиная с анализа программного обеспечения, которое использует компания, и заканчивая соглашением об именовании учетных записей пользователей. Подобная информация может быть использована в последующих атаках.

Метаданные являются основным источником информации. Они с легкостью упускаются из виду командой безопасности в процессе публикации данных о компании. После размещения их на веб-сайте или любом другом публичном форуме можно загрузить файл и извлечь критическую информацию с помощью утилит, таких как ExifTool от Фила Харви. Это кросс-платформенное приложение, написанное на языке Perl, можно использовать для чтения, записи и редактирования метаинформации различных форматов файлов.

Виды информации, которые могут быть извлечены из метаданных

Этот процесс может быть даже упрощен с помощью таких инструментов, как PyMeta, который использует поисковые системы для автоматического поиска общедоступных документов, опубликованных компанией. Как только они будут найдены, программа загрузит файлы и предоставит вам подробный отчет об извлеченных метаданных.

Часть отчета о метаданных от PyMeta

Такая информация, как соглашение об именовании учетных записей пользователей, может быть использована для создания списка юзеров и проведения атак брутфорс или осуществления социальной инженерии. Эти данные также применяются для получения выводов об окружающей среде или создания пользовательских полезных нагрузок на основе найденных версий операционной системы, программного обеспечения или приложений.

Как защитить себя от подобного рода атак?

Метаданные можно удалить из Microsoft Office, изменив свойства документа и активировав функцию уничтожения личной информации в настройках конфиденциальности.

В зависимости от технологий, используемых организацией, могут существовать сторонние инструменты или плагины для удаления метаданных во время процесса загрузки документов. В противном случае, такое истребление метаданных может быть осуществлено на уровне операционной системы через Проводник.

Подводя итог.

Использование метаданных для нацеливания на компанию – это распространённая практика среди пентестеров уже на протяжении многих лет. Она хорошо изучена, но до сих пор используется во время тестирования на проникновения и приносит свои плоды.