A gdyby tak z agenta EDR zrobić zaawansowane malware i wykorzystać je przeciwko firmom? Luźne przemyślenia
Na przestrzeni ostatnich 4-6 miesięcy ujawniono kilka bardzo poważnych i kilka mniej ekstremalnych luk bezpieczeństwa w rozwiązaniach sieciowych Palo Alto. Wyobraźmy sobie, że hakerskie ugrupowanie APT zadało sobie to pytanie i przeszło do realizacji swojego planu. Co mogłoby się stać, gdyby stworzyć wysoce zaawansowane malware i wykorzystać je przeciwko organizacjom na całym świecie?
11.05.2024 | aktual.: 11.05.2024 16:26
Ostatnie luki w Palo Alto (m.in. CVE-2024-3400: 10/10, CVE-2024-3385: 8/10 i inne), umożliwiające uzyskanie uprawnień root na urządzeniu sieciowym, pozwalają trochę poteoretyzować…
W przeciętnej infrastrukturze sieciowej na komputerach pracowników i niektórych serwerach Windows znajdują się poufne dane oraz różne informacje firmowe. Dodatkowo w tle na tych urządzeniach często jest uruchomiony agent, wyposażony w wiele zaawansowanych mechanizmów, telemetrię. Jego zadaniem jest zabezpieczanie systemu i logowanie zdarzeń ze szczegółami. Równie często taki agent ma dostęp do niższego poziomu uprawnień niż administrator, bo wykorzystuje mechanizm wysokości sterownika oprogramowania, który umożliwia rejestrowanie niemal każdej czynności w systemie operacyjnym.
Dalsza część artykułu pod materiałem wideo
Zatem jeżeli takie informacje można przechwycić, to można je też w odpowiedni sposób "przeczytać" i wysłać do zdalnej maszyny.
Z perspektywy testera oprogramowania do zabezpieczania urządzeń, nie jestem przerażony takim scenariuszem. Jednak ten teoretyczny atak powinien być ostrzeżeniem dla osób odpowiedzialnych za bezpieczeństwo.
Ostatnio hakerzy najczęściej włamują się poprzez luki w oprogramowaniu VPN lub w oprogramowaniu do zdalnego dostępu – patrz ostatnie włamania do firm poprzez luki w VPN Ivanti i Palo Alto.
Odpowiedzą na ten problem może być szybka analiza ryzyka:
- Na których maszynach z dostępem do ważnych danych zainstalowany jest podobny agent z wysokimi uprawnieniami?
- Jakie krytyczne dane są przechowywane w tych systemach?
- Czy tworzona jest kopia zapasowa tych danych i jak często?
- Czy istnieje replikacja kopii zapasowej?
- Kto ma dostęp do tych danych?
- Czy dostęp do zasobów jest kontrolowany, rejestrowany? Jeżeli tak, to czy dane telemetryczne są zabezpieczone przed "przypadkowym" usunięciem?
- Jaki wdrożono mechanizm uwierzytelniania i autoryzacji do danych?
- Czy organizacja po ataku będzie posiadać logi mogące odtworzyć słaby punkt, który wykorzystano do włamania?
Może już teraz warto rozważyć taką analizę ryzyka i przygotować się na najgorsze?
Nie chcę wchodzić w tezę, że jakiekolwiek oprogramowanie z wysokimi uprawnieniami, w tym rozwiązanie antywirusowe, EDR-XDR itp. jest czymś złym. Mówimy bowiem o skrajnym przypadku, jakim jest wykorzystanie luki 0-day o powadze zagrożenia w skali CVE aż 8-10/10. Niekiedy atakujący musi spełnić dodatkowe warunki, aby móc wykonać kod z uprawnieniami exploitowanego oprogramowania. Lecz nie zawsze problemem jest system operacyjny, a zainstalowane w nim oprogramowanie, które nie łudźmy się – może zawierać luki i musi być uruchamiane z wysokimi uprawnieniami.
No dobra, ale czy można coś z tym zrobić?
Cisco na podstawie badania przeprowadzonego na 8 tysiącach firm oceniło, że 66 proc. ankietowanych spodziewa się incydentu w ciągu najbliższych 12-24 miesięcy, który zakłóci działalność ich organizacji. Dodatkowo 53 proc. respondentów już przyznało, że doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatnich 12 miesięcy, a 32 proc. dotkniętych nimi firm oceniło koszt ataku na co najmniej 300 tys. dolarów.
Jednym z poważniejszych i kolejnym "zagrożeniem" może być tzw. "luka w kompetencjach". Wdrożone nawet najbardziej zaawansowane rozwiązanie IT będzie wymagało dedykowanego pracownika albo nawet kilku.
W tym samym badaniu (w czasie jego przeprowadzania) w 86% organizacjach ponad dziesięć stanowisk związanych z cyberbezpieczeństwem nie było obsadzonych.
Kolejnym problem jest dostęp pracowników do zasobów, do których dostępu mieć nie powinni
Co trzecia firma przyznała się (30 proc.), że ich pracownicy przełączają się pomiędzy co najmniej sześcioma sieciami tygodniowo. Tutaj EDR-XDR nie pomoże, trzeba będzie wdrożyć rozwiązania domenowe nadające dostęp pracownikom do zasobów, do których dostęp mieć powinni i nic ponad to. Trzeba rejestrować sesje logowania, wykorzystywać co najmniej podstawowy 2FA, ponieważ samo hasło może być niewystarczające.
Tam, gdzie logowanie 2FA/MFA nie jest możliwe, ponieważ może być zbyt kosztowne albo ograniczenia architektoniczne całkowicie uniemożliwiają zastosowanie wieloskładnikowego uwierzytelniania, to z pomocą przychodzą tzw. brokery, czyli łączniki (ang. broker). Są one jak pomost pomiędzy warstwą web-aplikacji (online lub offline), a użytkownikiem, przed którym zabezpiecza się dostęp do zasobu, i gdzie od użytkownika wymaga się uwierzytelniania i autoryzacji.
Bezpieczeństwo IT to skomplikowany proces, który nie polega wyłącznie na skupieniu się na jednym aspekcie, ponieważ wówczas na drugi plan spychane są inne i tak stają się słabszym ogniwem.
Analizując niektóre poważniejsze cyberataki na przestrzeni ostatnich miesięcy hakerzy skupiali się na wykorzystaniu luk, podatności w atakowanych sieciach. Może warto w nadchodzących tygodniach popracować nad wdrożeniem rozwiązania, które umożliwi przeprowadzenie audytu brakujących aktualizacji systemowych i oprogramowania? Niezbędne jest także zaktualizowanie OS-ów produktów sieciowych, brzegowych, w tym agentów oprogramowania ochronnego.
Aktualizacja nie zawsze jest łatwa i przyjemna, niekiedy powoduje problemy, które muszą być rozwiązane nakładem pracy administratorów. Tym niemniej to chyba jedyny słuszny kierunek zważywszy na ostatnie cyberataki skierowane przeciwko firmom, które używają rozwiązań renomowanych producentów.