Віддалений доступ до бізнес-середовища став невід’ємною частиною повсякденної роботи під час пандемії COVID-19. Одним з поширених способів підключення співробітника технічної підтримки до робочого комп’ютера віддаленого співробітника є служба віддаленого робочого столу, яка має деякі добре відомі уразливості безпеки. Одна з широко використовуваних служб віддалених робочих столів, протокол віддаленого робочого стола Microsoft (RDP), схильна до атак з використанням DLL Side Loading.
Злом служби Microsoft RDP
Служба Microsoft RDP включається через клієнт служб терміналів Microsoft (MSTSC), який потім завантажує DLL-бібліотеку «mstscax» з папки «C: \ Windows \ System32» без обов’язкової перевірки. В результаті зловмисники можуть замінити цю DLL-бібліотеку, якщо у них є необхідні привілеї системного адміністратора Windows.
Іншим способом виконання атаки є скидання виконуваного файлу “mstsc.exe” в папку іншого користувача разом з шкідливою DLL “mstscax”. Виконуваний файл не використовує повний шлях для завантаження динамічної бібліотеки, тому DLL, вміщена в ту ж папку з залежним виконуваним файлом, буде завантажена першою відповідно до механізму порядку пошуку Windows. Цей метод схожий на DLL Side Loading і відомий як захоплення порядку пошуку DLL.
Атаки з використанням Zoom
З появою пандемії COVID-19 платформа віртуальних конференцій Zoom привернула до себе увагу через декілька потенційних загроз безпеки, пов’язаних з відомими уразливостями.
Zoom також став мішенню недавньої фішингової кампанії, спрямованої на крадіжку службових даних. Фішингові повідомлення були доставлені на більш ніж п’ятдесят тисяч поштових скриньок, націлених на користувачів Office 365, з фальшивим запрошенням по електронній пошті на майбутній дзвінок в Zoom з відділом кадрів для обговорення продуктивності (подібна тема покликана викликати у жертви тривогу, яка може витіснити її звичайну обережність при переході за посиланням в електронній пошті).
Підводячи підсумок, можна сказати, що пандемія COVID-19 істотно змінила характер загроз, підкресливши численні ризики безпеки і конфіденційності, пов’язані з віддаленими робочими операціями, включаючи віддалений доступ до внутрішніх серверів компанії і віртуальних конференцій. Тому керівники підприємств та ІТ-відділів повинні вжити термінових заходів по впровадженню заходів кібербезпеки, що захищають віддалених співробітників та їх конфіденційні дані.
Сюди входить установка поведінкових засобів захисту від шкідливих програм, які можуть виявляти і запобігати атакам “нульового дня”, включення багатофакторної аутентифікації, а також застосування засобів контролю доступу до онлайн-зустрічей, щоб тільки авторизовані користувачі могли приєднуватися до відео- та аудіоконференцій. З урахуванням того, що велика частина віддаленої роботи може вціліти в умовах нестабільного світу після пандемії, негайні інвестиції в захист продовжуватимуть приносити довгострокові дивіденди в області кібербезпеки.
Джерело Acronis
З питань придбання рішень Acronis звертайтеся до наших фахівців +380 (44) 383 4410 або sales@softico.ua
