Oddvar Moe jobber med blant annet penetrasjonstesting hos Advania. Her under NIC 2017-konferansen i Oslo Spektrum.
Oddvar Moe jobber med blant annet penetrasjonstesting hos Advania. Her under NIC 2017-konferansen i Oslo Spektrum. (Bilde: Harald Brombach)
EKSTRA

Penetrasjonstester: – Slik kan Windows-maskiner angripes og beskyttes

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

– Skru på to-faktorautentisering for tjenester på internett. Passord alene er ikke lenger nok!

Dette er det første Oddvar Moe, chief technical architect og penetrasjonstester hos Advania, nevner når digi.no spør ham om tre råd for å begrense faren for IT-angrep mot virksomheter. 

Da hadde Moe akkurat gått av scenen i Oslo Spektrum etter å ha holdt et foredrag om angrep og detektering i Windows-miljøer under NIC-konferansen i forrige uke.

Si nei til klient til klient

Men Moe begrenser seg ikke til tre råd.

– Ha kontroll på trafikken, er det neste Moe sier. Spesielt nevner han at alle som ikke har spesielt behov for det, bør skru av støtten for klient-til-klient-kommunikasjon.

Det betyr at PC-ene i nettverket ikke kan snakke direkte med hverandre, men må utveksle data via en separat tjeneste eller server. Men hvor ofte har man egentlig behov for å sende data direkte mellom PC-ene. Skadevare, for eksempel utpressingsvare, kan derimot ha stor nytte av en slik mulighet. 

– Etabler flere lag med sikkerhet. Ha antivirus, ha firewall, se etter svakheter. Ikke stol på én eneste ting og tro at du har løst det, sier Moe som et tredje råd. 

Det fjerde rådet til Moe er en gammel kjenning. 

– Hindre at sluttbrukerne har lokaladmin, sier han.

Dette vil hindre at brukerne kan installere programvare selv, men i mange tilfeller også installasjonen av skadevare. 

AppLocker

– Hvitelisting av applikasjoner er veldig nyttig, sier Moe. 

Dette innebærer at kun utvalgt programvare får kjøres av brukeren, uavhengig av hva som er installert på maskinen.

– Jeg har aldri hørt om noen som har angret etter å ha implementert dette, selv om det er litt jobb til å begynne med, sier Moe.

Han nevner Microsofts AppLocker som et eksempel på en slik løsning. AppLocker ble introdusert i de mest avanserte utgavene av Windows 7. I Windows 10 følger AppLocker bare med Enterprise- og Education-utgavene.

To ytterligere råd er å fjerne alle metadata i dokumenter som deles på utsiden av bedriften, samt å sperre utgående trafikk på port 445. Vi kommer tilbake til hvorfor litt senere i saken.

Fant sårbarhet i Windows 10

Under foredraget fortalte Moe at han nylig hadde oppdaget en liten sårbarhet i låseskjermen til Windows 10. Enhver som får fysisk tilgang til en låst Windows 10-PC, kan se hva som er lagret i utklippstavlen til Windows ved å åpne dialogen for nettverk, forsøke å koble maskinen til et trådløst nettverk og deretter lime inn innholdet i utklippstavlen inn i passordfeltet som da gjerne dukket opp. 

Ifølge Moe er dette det eneste feltet på låseskjermen som har støtte for å lime inn tekst. Riktignok er innholdet i feltet i utgangspunktet skjult av en rekke prikker, men feltet har også et øye-ikon som man kan klikke på for å se det som egentlig har blitt skrevet i feltet. 

(Artikkelen fortsetter under videoen)

Ifølge Moe har han varslet Microsoft Security Response Center om dette, men i svaret han fikk, går det fram at Microsoft ikke anser dette som noen sårbarhet siden det kreves fysisk tilgang til PC-en for å utnytte det.

Moe mener at innholdet i utklippstavlen kan være interessant, blant annet fordi mange som bruker egne passordverktøy, kopierer de komplekse passordene som genereres av verktøyet over i for eksempel nettleseren, ved å bruke utklippsfunksjonen i Windows.

Han har skrevet et blogginnlegg om sårbarheten, hvor han også beskriver hvordan hele nettverksikonet på låseskjermen kan fjernes.

Omfattende forberedelser

I foredrag fortalte Moe om vanlige framgangsmåter for å få tilgang til bedrifters Windows-baserte systemer. Den aller vanligste metoden skjer gjennom masseutsendelse av phishing-epost, mens mer målrettede angrep krever mer forberedelser. 

Angriperne bruker gjerne åpent tilgjengelig informasjon for å skaffe seg oversikt over bedriften. Dette kan være informasjon fra LinkedIn og andre sosiale medier, eller på bedriftens eget nettsted. Det gjør det enklere å avgjøre hvem i organisasjonen angrepet bør rettes mot.

Mange virksomheter deler dokumenter med andre. Ikke bare som vedlegg til epost, men helt offentlig via virksomhetens nettsted. Disse dokumentene kan inneholde mye skjult informasjon, dersom utgiveren ikke har vært nøye med å fjerne dette på forhånd. 

Ifølge Moe kan denne metainformasjonen til og med inkludere brukernavn, filstier og navn på interne servere og delte filområder.

Han sa videre at verktøy som FOCA (Fingerprinting Organizations with Collected Archives) kan brukes til denne typen analyser. 

Moe fortalte videre at angripere selvfølgelig utnytter de store lekkasjene av passord som vi har sett de siste årene. Mange bruker samme kombinasjon av brukernavn og passord på tvers av ulike tjenester. 

Moe anbefalte tjenesten Have I been owned? for å se om man har epostadresser som er berørt av slike lekkasjer.

Et annet nyttig verktøy for angripere, er Shodan, en stor database som forteller om hvilke porter som er åpne hos enheter som er knyttet til internett. Dette kan være alt fra overvåkningskameraer til virksomheters lokale brannmur. Digi.no har omtalt Shodan en rekke ganger tidligere. 

– Det svakeste leddet er likevel bedriftens ansatte, sa Moe. 

Les mer: Hackernes svar på Google

Ordbokangrep

I andre tilfeller kan angriperne forsøke å logge seg på offentlig tilgjengelige tjenester ved å forsøke å finne et fungerende passord. Mange benytter passord som er både er korte og enkle å gjette. Slike «brute force»- eller ordbokangrep kan gjerne skje over lang tid for å unngå at de blir oppdaget. 

– Hvordan oppdager du en mislykket innlogging som skjer omtrent hver tredje time? Antagelig oppdager du det ikke, sa Moe. 

Angripere kan også utnytte at virksomheten følger visse rutiner, for eksempel at den bestiller pizza via nettstedet til en fast pizzarestaurant hver fredag. Dette kan utnyttes dersom angriperen er i stand til å utføre en «man-in-the-middle»-angrep på denne bestillingen, for eksempel for å stjele informasjon eller for å utnytte sårbarheter i nettleseren til å installere skadevare hos virksomheten. 

Hvorfor skjer angrepene?

Oddvar Moe demonstrerte flere effektive angrepsteknikker mot Windows-systemer, men kom også med en rekke råd om hvordan man relativt enkelt kan beskytte seg mot mange av angrepene.
Oddvar Moe demonstrerte flere effektive angrepsteknikker mot Windows-systemer, men kom også med en rekke råd om hvordan man relativt enkelt kan beskytte seg mot mange av angrepene. Foto: Harald Brombach

Med utpressingsvare er målet vanligvis ganske enkelt å få utbetalt løsepenger. Mange bedrifter rammes av dette, og Moe sier til digi.no at slike angrep vil endre seg litt framover, slik at de blir mer rettede og at summene blir større. Han ser også for seg smartere skadevare som også klarer å kryptere sikkerhetskopiene og som gjør dette en god stund før originalene blir kryptert. 

– Det er ikke en backup før man har testet den, og ikke alle tester, sier Moe.

Andre vanlige motiver for en angriper er ifølge Moe å stjele verdifull informasjon, for eksempel om teknologier eller design, som kan selges videre. Andre angriper for å finne informasjon som kan legges, for eksempel på Wikileaks. 

Men ifølge Moe kan angrepet skje av mer strategiske og langsiktige årsaker, for eksempel at det kan vært smart for en angriper å etablere seg et fotfeste i en fremmed server for å utnytte dette i angrep en gang i framtiden. 

Demonstrasjon av angrep

Blant de konkrete angrepene som Moe med noe blandet hell demonstrerte under foredraget, var ett som gjør det mulig å stjele den NTLM-baserte hashen av Windows-brukerens passord, bare ved å få brukeren til å åpne en epost som laster en bortimot usynlig bildefil. 

Ifølge Moe er det nemlig slik at Windows tolker alle adresser som er oppgitt med en IP-adresse som en del av den lokale internettsonen og foreslår derfor å bruke Windows' «single signon»-teknologi. Dersom den vesle bildefilen blir levert fra en webserver hvor IP-adressen og ikke domenenavnet er oppgitt i adressen, så vil Windows forsøke å logge seg på denne serveren ved å sende over NTLM-hashen. 

Dette kan være nyttig internt i en lokalt nettverk, men er skummelt på det åpne internettet. Derfor anbefaler Moe at man sperrer for utgående trafikk på port 445 i brannmuren. 

– Da vil man være trygg, men mange glemmer dette, sa han under foredraget. 

Hashen må riktignok knekkes for å finne passordet. Typisk brukes et ordbokangrep, noe som ifølge Moe kan gå ganske raskt, siden de fleste har ganske enkle og korte passord, ofte ikke lenger enn det som er minimumskravet. 

Les også: Billig USB-dings gjør det enklere å stjele passordet til Windows- og OS X-brukere

Bakdør i Outlook

Moe fortalte også om en type angrep som kan brukes til å etablere en bakdør i Outlook, dersom man har fått tilgang til brukerens passord i Outlook Web Access (OWA), altså webutgaven av Exchange-servere. Ved hjelp av angrepsverktøyet Ruler kan man opprette en regel i Exchange som får Outlook til å utføre visse handlinger dersom det mottas epost som inneholder visse ord. 

For eksempel kan en slik regel sørge for at det lastes ned og installeres skadevare, samtidig som at eposten slettes. Det eneste brukeren kanskje vil se, et at ledetekstvinduet er åpent et kort øyeblikk.

Her kan man rense maskinen så mye man vil. Så lenge regelen, som er lagret i Exchange, ikke blir fjernet, vil den tas i bruk av Outlook så snart brukeren logger seg på på nytt.

Windows 10 sikrest

Digi.no spør til slutt Moe om hans syn på diskusjonen om hvorvidt Windows 7 kan være like sikkert som Windows 10. Som digi.no tidligere har omtalt, er det enkelte som mener dette, så lenge man også bruker sikkerhetsverktøyet EMET, som Microsoft har besluttet å legge ned. 

– Det er masse nye funksjonalitet i Windows 10, men mye må aktiveres. Det er også mye man bare får tilgang til dersom man har Enterprise-utgaven, sier Moe. 

– EMET er bra til å forhindre «zero days», sier Moe. Med dette mener han angrep som utnytter til da ukjente sårbarheter, som det ikke finnes sikkerhetsfikser til. Han legger til at mange nok ble litt sjokkerte over Microsoft beslutning om nedleggelse av EMET. 

– Men Windows 10 er likevel et vanskeligere operativsystem å bryte seg inn i, avslutter han.

Les mer: Mener Windows 7 kan gjøres like sikkert som Windows 10

Kommentarer (2)

Kommentarer (2)
Til toppen