Удаленный доступ к бизнес-среде стал неотъемлемой частью повседневной работы во время пандемии COVID-19. Одним из распространенных способов подключения сотрудника технической поддержки к рабочему компьютеру удаленного сотрудника является служба удаленного рабочего стола, которая имеет некоторые хорошо известные уязвимости безопасности. Одна из широко используемых служб удаленных рабочих столов, протокол удаленного рабочего стола Microsoft (RDP), подвержена атакам с использованием DLL Side Loading.
Взлом службы Microsoft RDP
Служба Microsoft RDP включается через клиент служб терминалов Microsoft (MSTSC), который затем загружает DLL-библиотеку «mstscax» из папки «C: \ Windows \ System32» без обязательной проверки. В результате злоумышленники могут заменить эту DLL-библиотеку вредоносной, если у них есть необходимые привилегии системного администратора Windows.
Другим способом выполнения атаки является сброс исполняемого файла “mstsc.exe” в папку другого пользователя вместе с вредоносной DLL “mstscax”. Исполняемый файл не использует полный путь для загрузки динамической библиотеки, поэтому DLL, помещенная в ту же папку с зависимым исполняемым файлом, будет загружена первой в соответствии с механизмом порядка поиска Windows. Этот метод похож на DLL Side Loading и известен как захват порядка поиска DLL.
Атаки с использованием Zoom
С появлением пандемии COVID-19 платформа виртуальных конференций Zoom привлекла к себе внимание из-за нескольких потенциальных угроз безопасности, связанных с известными уязвимостями.
Zoom также стал мишенью недавней фишинговой кампании, направленной на кражу служебных данных. Фишинговые сообщения были доставлены на более чем пятьдесят тысяч почтовых ящиков, нацеленных на пользователей Office 365, с фальшивым приглашением по электронной почте на предстоящий звонок в Zoom с отделом кадров для обсуждения производительности (подобная тема призвана вызвать у жертвы тревогу, которая может вытеснить ее обычную осторожность при переходе по ссылке в электронной почте).
Подводя итог, можно сказать, что пандемия COVID-19 существенно изменила характер угроз, подчеркнув многочисленные риски безопасности и конфиденциальности, связанные с удаленными рабочими операциями, включая удаленный доступ к внутренним серверам компании и виртуальным конференциям. Поэтому руководители предприятий и ИТ-отделов должны принять срочные меры по внедрению мер кибербезопасности, защищающих удаленных сотрудников и их конфиденциальные данные.
Сюда входит установка поведенческих средств защиты от вредоносных программ, которые могут обнаруживать и предотвращать атаки “нулевого дня”, включение многофакторной аутентификации, а также применение средств контроля доступа к онлайн-встречам, чтобы только авторизованные пользователи могли присоединяться к видео- и аудиоконференциям. С учетом того, что большая часть удаленной работы может уцелеть в условиях нестабильного мира после пандемии, незамедлительные инвестиции в защиту будут продолжать приносить долгосрочные дивиденды в области кибербезопасности.
Источник Acronis
По вопросам приобретения решений Acronis обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua
