Oddvar Moe jobber med blant annet penetrasjonstesting. Her er han fotografert ved en tidligere anledning.
Oddvar Moe jobber med blant annet penetrasjonstesting. Her er han fotografert ved en tidligere anledning. (Bilde: Harald Brombach)
EKSTRA

Phishing

Opplever at phishing fungerer bedre ved å utnytte sikkerhets­produkt fra Microsoft

Hindrer andre sikkerhetsprodukter i å gjøre jobben sin.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Noen ganger skjer det at sikkerhetsprodukter en tror en kan stole på, utgjør en sikkerhetsrisiko i seg selv, eventuelt bidrar til å svekke sikkerheten i andre produkter. Dersom ikke dette problemet kan løses av leverandørene, må kundene selv avgjøre hva som utgjør den største risikoen og handle i henhold til dette.

Nå har det dukket opp et nytt slikt tilfelle, og denne gang gjelder det et produkt fra Microsoft, som skal bidra til å kontrollere tilgangen til dokumenter og epost som deles på utsiden av en virksomhet.

Dette produktet, Azure Information Protection (AIP), har vist seg å gjøre det enklere å lykkes med phishing- og skadevareangrep via epost, ved at det hindre at slike trusler oppdages før de kommer fram til mottakeren.

Dette forteller Oddvar Moe, senior sikkerhetskonsulent i det amerikanske IT-sikkerhetsselskapet TrustedSec, til digi.no. 

Ifølge Moe har TrustedSec utnyttet dette en stund allerede i forbindelse med «red team»-tester og penetrasjonstesting hos selskapets kunder.

Kryptering

Det AIP gjør, er å kryptere innholdet i epost og eventuelle epostvedlegg, for så å sørge for at det kun er den tiltenkte mottakeren som kan lese innholdet. Mottakere som ikke kan åpne den AIP-beskyttede eposten i sin vanlige epostklient, kan åpne den i en nettleser ved å benytte et engangspassord.

Et kjent problem med ende-til-ende-kryptert epost generelt, er at sikkerhetsløsninger som under transitten vanligvis er i stand til å blokkere epost som inneholder skadelig innhold, slik som skadevare og phishinglenker, ikke har mulighet til å ta en titt på innholdet når det er kryptert på denne måten. Da overlates sikkerheten til det programmet eposten åpnes i.

For enkelt?

For å lese epost som er kryptert med for eksempel PGP, kreves det at brukeren både har generert et nøkkelpar og har installert programvare som kan dekryptere PGP. Har brukeren ikke dette, er det uansett ikke mulig å lese eposten eller vedlegget. 

Slike forberedelser er ikke nødvendige for å lese epost beskyttet av AIP.

Til digi.no forteller Moe at brukere som har Office 365 fra før, og som kan logge seg inn på skytjenestene fra en PC som er satt om med Single Signon mot skyen, ikke vil måtte gjøre annet enn å dobbeltklikke for å åpne det krypterte innholdet. 

I andre tilfeller kan det være nødvendig å taste inn epostpassordet på nytt.

Lav terskel

Terskelen for at brukerne skal kunne åpne innholdet i eposten, er altså temmelig lav, og det er blant annet dette Moe og hans kolleger har utnyttet i sine penetrasjonstester. Moe har skrevet et omfattende blogginnlegg hvor han beskriver alle deler av angrepsteknikken.

Der tar han også opp en annen AIP-funksjon som kan være nyttig for angripere. AIP holder nemlig også rede på hvem som har forsøkt å åpne AIP-beskyttede Office-dokumenter – dokumenter som kan inneholde ondsinnede makroer. Det hele kan vises i en egen oversikt hvor man kan se hvem som har lykkes eller mislykkes med dette.

Det er i tillegg mulig for avsenderen å få varsler når noen forsøker å åpne dokumentet, og avsenderen kan også trekke tilbake tilgangen til dokumentet, noe som kan vanskeliggjøre etterforskning av et angrep hvor dokumentet har vært involvert.

Mottiltak

Moe mener det ikke er enkelt å beskytte seg mot angrep som involverer AIP. For virksomheter som ikke i stor grad avhenger av AIP internt, er det enkleste trolig å blokkere all innkommende epost som er AIP-beskyttet. 

For virksomheter som i utstrakt grad bruker AIP, er slik blokkering sannsynligvis ingen løsning. Disse må i stedet være forberedt på at skadevare kan komme inn på denne måten og ha beskyttelse som i alle fall hindrer spredning. Eventuelt kan det være fornuftig å ha en hviteliste over avsendere som får sende virksomheten AIP-beskyttet epost. De resterende kan settes i karantene og åpnes i trygge omgivelser. Men Moe understreker at dette må gjøres via kontoen til en som har mottatt eposten. 

«Ikke noe nytt»

Microsoft har på ingen måte avvist det Moe og TrustedSec har avdekket. I en uttalelse om hvordan berørte brukere bør forholde seg til dette, skriver Microsoft Norge til digi.no: 

– Det er dessverre ikke noe nytt at skadevare kan skjules i krypterte filer. For at denne teknikken skal fungere må en bruker først åpne en kryptert og virusinfisert epost eller epostvedlegg. Vi oppfordrer derfor alle til å være kritiske på nett og være forsiktige med å klikke på linker til ukjente nettsteder og åpne eller laste ned ukjente filer. Her er mer informasjon og råd om hvordan man holder seg trygg på nett her. I tillegg kan du lese mer om hva Microsoft gjør på sikkerhet her.

Les du denne? Politiet misbrukt i et av Islands verste phishingangrep

Kommentarer (0)

Kommentarer (0)
Til toppen