W tym artykule omawiamy w sposób techniczny 3 realistyczne cyberataki, na które możemy być narażeni podczas pracy zdalnej i wyjaśniamy, jak można się przed nimi zabezpieczyć.

JAK CYBERPRZESTĘPCY ATAKUJĄ OSOBY WYKONUJĄCE PRACĘ ZDALNĄ?

Osoby pracujące zdalnie, mające gorszy poziom bezpieczeństwa informatycznego w swoich domach niż w firmach, stanowią główny cel dla hakerów. Firmy skupiają się bowiem głównie na obronie obwodowej (firewall, urządzenia monitorujące sieć itp.), zaniedbując czasem indywidualne bezpieczeństwo każdej stacji roboczej.

Z jakich środków może skorzystać atakujący, aby namierzyć Cię podczas pracy zdalnej? Pomijając bezpośrednie zagrożenia z internetu – modem internetowy każdego z nas pełni rolę firewalla. Wtargnięcie do domu przez atakującego jest rzadkim zjawiskiem w świecie cyberataków. Istnieją dwa poważne źródła ataków:

• Niefiltrowane korzystanie z internetu na komputerze służbowym (lub z mniejszymi ograniczeniami niż w miejscu pracy) zwiększa ryzyko pobrania pliku lub otwarcia zainfekowanego załącznika itp.;
• Obecność innych urządzeń w sieci lokalnej. Zdecydowana większość modemów internetowych w domyślnej konfiguracji nie filtruje ruchu w sieci lokalnej.

Sprzęt (komputery domowe, telefony komórkowe, tablety, a nawet urządzenia należące do naszych sąsiadów, którzy bez naszej wiedzy korzystają z naszego internetu) może być jednak przestarzały, nieodpowiednio zabezpieczony lub narażony na niebezpieczne użytkowanie (ściąganie, pirackie aplikacje i gry, odwiedzanie stron zakazanych dla osób poniżej 18 roku życia itp.).

Wystarczy wysłać e-mail zawierający załącznik zainfekowany trojanem RAT, Remote Access Trojan (makro programu Excel, podatność w programie do odczytu plików PDF, plik wykonywalny „maskujący” dokument itp.), przeznaczony do otwarcia na słabo zabezpieczonym komputerze domowym.

Gdy program zostanie uruchomiony, cybernapastnik zyskuje dostęp naszej sieci lokalnej. Jesteśmy wtedy narażeni na różne zagrożenia związane z konkretnymi atakami. Dostęp do udostępnionych folderów, wykorzystanie podatności typu RCE oraz wykorzystanie protokołu LLMNR należą do tych zagrożeń.

CYBERATAK #1: DOSTĘP DO UDOSTĘPNIONYCH FOLDERÓW

Pierwszym zagrożeniem jest dostęp do udostępnionych folderów. W momencie, gdy po raz pierwszy podłączymy komputer służbowy do sieci lokalnej, Windows pyta, czy była to sieć „prywatna”, czy „publiczna”, czy też – w zależności od wersji – „domowa”, „biurowa” czy „publiczna”. W domu większość osób ma tendencję do wybierania sieci „prywatnej” lub „domowej”. Działanie to sprawia jednak, że Windows zmniejsza czujności i zwiększa zaufanie do innych członków sieci. W szczególności zezwala im na dostęp do wszelkich udostępnionych folderów.

Cyberatakujący mający dostęp do sieci lokalnej może wtedy z łatwością sprawdzać udostępnione w sieci foldery, uzyskać dostęp i pozyskać zawarte w nich poufne dokumenty. W zależności od konfiguracji udostępniania może nawet edytować istniejące dokumenty lub dodawać nowe. Na przykład ukryć w miejscu jednego z plików trojana RAT (Remote Access Trojan), który uaktywni się przy następnym kliknięciu w ten plik.

Wymagania wstępne:

• Atakującemu udało się uzyskać dostęp do sieci lokalnej;
• Istnieje jeden lub kilka folderów współdzielonych przez wszystkich;
• Sieć lokalna została zadeklarowana w systemie Windows jako „prywatna” lub „domowa”.

Skutki cyberataku:

• Poufność: dostęp do udostępnionych dokumentów.
• Integralność (w zależności od konfiguracji folderu współdzielonego): edytowanie i dodawanie plików.
• W najgorszym przypadku: przejęcie kontroli nad komputerem.

Nasze rekomendacje dotyczące pracy zdalnej przeznaczone dla CISO:

• Zażądać, by wszystkie komputery firmowe określały nowe sieci jako sieci „publiczne” i uniemożliwić użytkownikom zmianę tego wyboru (Network List Manager Policies);
• Uniemożliwić użytkownikom udostępnianie plików i folderów w sieci.

 Nasze zalecenia dotyczące pracy zdalnej przeznaczone dla użytkowników:

• W momencie, gdy komputer łączy się z siecią, nigdy nie deklaruj jej jako sieci „prywatnej”, chyba że masz absolutne zaufanie do wszystkich urządzeń, które są do niej podłączone;
• Nigdy nie udostępniaj wszystkim poufnego pliku lub folderu;
• Nigdy nie udzielaj uprawnień do zapisu wszystkim osobom w jednym z udostępnionych plików lub folderów.
  

CYBERATAK #2: WYKORZYSTANIE PODATNOŚCI TYPU RCE

Kolejnym ryzykiem, jakie ponosimy, jest wykorzystanie istniejącej w komputerze podatności typu RCE (Remote Code Execution). Przykładem jest CVE-2020-0796, znany również jako „SMBGhost”. Pozwala on atakującemu w sieci lokalnej na zdalne wykonanie kodu na urządzeniu użytkownika poprzez wykorzystanie protokołu udostępniania sieci SMBv3. Tego typu podatności są zwykle szybko naprawiane i rzadko informuje się o nich przed wydaniem poprawkowej aktualizacji bezpieczeństwa. Dlatego, jej wykorzystanie jest mało prawdopodobne, jeśli komputer jest odpowiednio zaktualizowany.

Jednak często zdarza się, że służbowe komputery wykorzystywane do pracy zdalnej aktualizują się tylko po podłączeniu do sieci firmowej.

Użytkownicy mogą mieć problem, jeśli np. w trakcie trwania lockdownu otrzymali od swojego działu IT e-maile zapraszające ich do odwiedzenia lokalnego oddziału firmy w celu wdrożenia ważnych aktualizacji zabezpieczeń.

Jeśli od momentu ich otrzymania nie było ich w biurze, urządzenia nie zostały zaktualizowane i w związku z tym cyberprzestępca będzie musiał jedynie przeniknąć do sieci, aby wykorzystać ich podatność.

Wymagania wstępne:

• Atakującemu udało się uzyskać dostęp do sieci lokalnej;
• Na stacji roboczej znajduje się nienaprawiona podatność RCE (brak aktualizacji lub, rzadziej, podatność zero-day).

Skutki cyberataku:

• Przejęcie kontroli nad komputerem.

Nasze rekomendacje dotyczące pracy zdalnej przeznaczone dla CISO:

• Przyjęcie polityki aktualizacji i zarządzania narzędziami bezpieczeństwa, które działa, nawet jeśli komputery nie są podłączone do sieci firmowej.

Nasze zalecenia dotyczące pracy zdalnej przeznaczone dla użytkowników:

• Jak najszybciej zastosować proponowane aktualizacje zabezpieczeń i w razie potrzeby wykonać ponowne uruchomienie komputera.

CYBERATAK #3: WYKORZYSTANIE FUNKCJI LLMNR

To ostatnie, bardziej techniczne zagrożenie, polega na manipulowaniu komputerem w taki sposób, aby ujawnił on napastnikowi swoje dane uwierzytelniające. Jak widzieliśmy przy pierwszym ryzyku ataku, kiedy łączymy się z „siecią domową”, komputer automatycznie próbuje zidentyfikować wszystkie usługi w sieci. Aby to zrobić, system Windows wykorzystuje kilka protokołów, w szczególności LLMNR i NBT-NS, w celu wysyłania żądań odkrywania. Na przykład, zapytanie w sieci, czy usługa ma nazwę „WPAD”, aby wykryć konfigurację proxy. Następnie komputer próbuje zliczyć różne rodzaje wykrytych usług.

Jeśli wymagają one uwierzytelnienia, komputer uruchamia się automatycznie z kontem użytkownika. Atakujący w sieci może wykorzystać ten mechanizm, odpowiadając na żądania odkrycia i rozpowszechniając fałszywe usługi wymagające uwierzytelnienia, na przykład poprzez narzędzie Responder.

W najgorszym przypadku (stare wersje systemu Windows i/lub złe konfiguracje), haker może bezpośrednio odzyskać hasło. W większości przypadków otrzymuje hash (netNTLMv1 lub netNTMLv2), który pozwala odszyfrować hasło. Im słabsze hasło (krótkie, obecne w słowniku haseł itd.), tym łatwiej je rozszyfrować.

Odzyskując hasło do konta Windows, atakujący może następnie połączyć się ze wszystkimi firmowymi usługami online, których uwierzytelnianie oparte jest wyłącznie (bez MFA) na tym koncie (proxy, webmail, aplikacje w chmurze, extranet itp.). Może nawet wykorzystać hasło w ramach bardziej złożonego ataku wewnątrz sieci firmowej.

Wreszcie, jeśli haker nie jest w stanie uzyskać hasła, uzyskany hash zawsze może być użyty do ataków „NTLMRelay”. Choć zagrożenie to jest bardzo niskie, to nadal jest możliwe w ramach ataku przez sieć lokalną.

Wymagania wstępne

• Atakującemu udało się uzyskać dostęp do sieci lokalnej;
• Konfiguracja sieci wykorzystuje protokoły LLMNR i/lub NBT-NS (tak dzieje się domyślnie w Windows 10 w sieciach „prywatnych”);
• Hasło do systemu Windows jest słabe.
  

Skutki cyberataku:

• Uzyskanie hasła do konta Windows.
  

Nasze rekomendacje dotyczące pracy zdalnej przeznaczone dla CISO:

• Wyłączyć protokół LLMNR i NBT-NS na wszystkich stacjach użytkowników w firmie;
• Zażądać, by wszystkie komputery firmowe określały nowe sieci jako sieci „publiczne” i uniemożliwić użytkownikom zmianę tego wyboru (Network List Manager Policies);
• Wprowadzić politykę haseł, która blokuje słabe hasła.
  

Nasze zalecenia dotyczące pracy zdalnej przeznaczone dla użytkowników:

• W momencie, gdy komputer łączy się z siecią, nigdy nie deklaruj jej jako sieci „prywatnej”, chyba że masz absolutne zaufanie do wszystkich urządzeń, które są do niej podłączone;
• Używaj silnego hasła.

Chociaż uzyskanie dostępu do sieci lokalnej w celu obrania za cel firmy wymaga pewnej motywacji, te poszczególne scenariusze są dość łatwe do wprowadzenia w życie przez przygotowanego napastnika. Nie są to jednak jedyne zagrożenia. Ogólnie rzecz biorąc, praca zdalna zwiększa pewne ryzyko ze względu na:

• Zwiększenie narażonego obszaru firm w internecie (VPN, extranet itp.);
• Brak kontaktu twarzą w twarz, co ułatwia „inżynierię społeczną”, praktykę hakerską, która opiera się na manipulacji;
• Częste korzystanie z rozwiązań do zdalnej współpracy i rozmów, które czasami nie są wystarczająco bezpieczne.
  

Tak było np. w przypadku Zooma, gdzie podczas pierwszego lockdownu znaleziono kilka CER (CVE-2020-6109 i CVE-2020-6110). W tym okresie odnotowano bardzo dużą liczbę ataków i prób ataków.

Aby sprostać wzrostowi liczby cyberataków i ich wyrafinowaniu, konieczne jest indywidualne przemyślenie bezpieczeństwa systemów informatycznych, z regularnym przeprowadzaniem testów penetracyjnych stacji roboczych, oraz uświadomienie pracownikom zagrożeń związanych z cyberprzestępczością.