Neste artigo, detalhamos de forma técnica 3 ciberataques realistas a que podemos estar expostos quando em teletrabalho e como nos podemos proteger.
COMO É QUE OS CIBERCRIMINOSOS ATACAM QUEM ESTÁ EM TELETRABALHO?
Menos bem equipados nas suas casas do que nas empresas no que respeita a segurança informática, quem está em teletrabalho representa um alvo preferencial para os piratas. Na verdade, as empresas concentram-se principalmente nas suas defesas de perímetro (firewall, dispositivos de monitorização de rede, etc.), negligenciando, por vezes, a segurança individual de cada estação de trabalho.
Mas a que meio pode um atacante recorrer para o atingir enquanto está em teletrabalho? Descartemos as ameaças diretas provenientes da internet – o modem de internet de cada um desempenha o papel de firewall – e a intrusão em casa por parte de uma pessoa maliciosa é um fenómeno raro no mundo dos ciberataques. Persistem duas fontes sérias:
- O uso da internet sem filtro no computador de trabalho (ou com menos restrições que o do que no local de trabalho) aumenta o risco de descarregar um ficheiro ou de abrir um anexo infetado, etc.;
- A presença de outros equipamentos na rede local. A grande maioria dos modems de internet, na sua configuração predefinida, não filtram o tráfego de rede local.
No entanto, estes equipamentos (computador doméstico, telemóveis, tablets... ou até mesmo os do vizinho que utiliza a nossa internet sem o nosso conhecimento) podem estar desatualizados, protegidos de forma insuficiente ou são objeto de utilizações de risco (descarregamentos, aplicações e jogos pirateados, consulta de sites interditos a menores de 18 anos, etc.).
Basta enviar um e-mail que contenha um anexo infetado por um RAT, Remote Access Trojan (uma macro no Excel, vulnerabilidade do leitor de PDF, um executável “mascarado” de documento, etc.), destinado a ser aberto no computador de casa mal protegido.
Quando o programa é executado, o ciberatacante tem um pé dentro da nossa rede local. Passamos então a correr vários riscos de ataques concretos. O acesso a pastas partilhadas, a exploração de uma vulnerabilidade do tipo RCE e a exploração do protocolo LLMNR fazem parte desses riscos.
CIBERATAQUE #1: O ACESSO A PASTAS PARTILHADAS
Um primeiro risco é o acesso a pastas partilhadas. No momento em que conectamos o computador de trabalho à rede local pela primeira vez, o Windows pergunta se se tratava de uma rede “privada” ou “pública” ou de uma rede “doméstica”, “de escritório” ou “pública”, consoante a versão. Em casa, a maioria das pessoas tem tendência a clicar em “privada” ou “doméstica”. No entanto, essa ação encoraja o Windows a diminuir a vigilância e a confiar nos outros membros da rede. Permite-lhes, designadamente, descobrir quaisquer pastas partilhadas que possam existir.
Um ciberatacante que tenha acesso à rede local pode então consultar facilmente as partilhas em rede e aceder e recuperar quaisquer documentos confidenciais que contenham. Consoante a configuração da partilha, podem até modificar os documentos existentes ou adicionar novos. Como, por exemplo, esconder um RAT (Remote Access Trojan) no lugar de um dos ficheiros, que será ativado da próxima vez que se clicar sobre o referido ficheiro.
Pré-requisitos:
- O atacante conseguiu aceder à rede local;
- Existe uma ou mais pastas partilhadas por todos;
- A rede local foi declarada ao Windows como “privada” ou “doméstica”.
Impactos do ciberataque:
- Confidencialidade: acesso a documentos partilhados;
- Integridade (consoante a configuração da pasta partilhada): modifica e adiciona ficheiros;
- No pior dos casos: assume o controlo do computador.
As nossas recomendações para o teletrabalho, à atenção dos CISO:
- Obrigar todos os computadores da frota a assumir as novas redes como redes "públicas”, e impedir os utilizadores de modificarem essa escolha (Network List Manager Policies);
- Impedir os utilizadores de partilhar ficheiros e pastas na rede.
As nossas recomendações para o teletrabalho, à atenção dos utilizadores:
- No momento em que o computador se conecta a uma rede, nunca o declarar como rede “privada” a menos que haja confiança absoluta em todos equipamentos que estão ligados à mesma;
- Nunca partilhar um ficheiro ou pasta sensível com todos;
- Nunca conceder permissão de escrita a todos num dos ficheiros ou pastas partilhadas.
CIBERATAQUE #2: A EXPLORAÇÃO DE UMA VULNERABILIDADE DO TIPO RCE
Um outro risco em que incorremos é a exploração de uma vulnerabilidade do tipo RCE (Remote Code Execution) existente no computador. Podemos, por exemplo, citar a CVE-2020-0796, também conhecida como “SMBGhost". Permite a um atacante na sua rede local executar um código à distância na máquina, através da exploração do protocolo de partilha de rede SMBv3. Este tipo de vulnerabilidade é, por norma, corrigida com celeridade e raramente comunicada antes do lançamento da atualização corretiva de segurança. Portanto, a sua exploração é pouco provável se o computador estiver devidamente atualizado.
Não obstante, é comum que os computadores profissionais utilizados para teletrabalho só se atualizem quando conectados à rede da empresa.
Os utilizadores podem ser afetados se, por exemplo, no decorrer dos confinamentos, receberam do seu departamento de IT e-mails convidando-o a passar nas instalações locais da empresa para implementar atualizações de segurança importantes.
Se não tiverem estado no escritório desde que os receberam, as máquinas não foram atualizadas e, como tal, o cibercriminoso só terá de se infiltrar na rede para explorar a vulnerabilidade das mesmas.
Pré-requisitos:
- O atacante conseguiu aceder à rede local;
- Uma RCE não corrigida está presente na estação de trabalho (falha na atualização ou, mais raramente, uma vulnerabilidade de dia zero).
Impactos do ciberataque:
- Assumir o controlo do computador.
As nossas recomendações para o teletrabalho, à atenção dos CISO:
- Adotar uma política de atualização e gestão das ferramentas de segurança que se mantenha funcional, mesmo que os computadores não se encontrem ligados à rede da empresa.
As nossas recomendações para o teletrabalho, à atenção dos utilizadores:
- Aplicar as atualizações de segurança que são propostas o mais rápido possível e efetuar uma reinicialização se esta for requisitada.
CIBERATAQUE #3: A EXPLORAÇÃO DA FUNÇÃO LLMNR
Esta última ameaça, mais técnica, consiste em adulterar o computador de forma que este revele as credenciais ao atacante. Como vimos no primeiro risco de ataque, ao nos conectarmos a uma “rede doméstica”, o computador tenta automaticamente identificar todos os serviços da rede. Para isso, o Windows utiliza vários protocolos, nomeadamente o LLMNR e NBT-NS, de forma a enviar pedidos de descoberta. Irá, por exemplo, perguntar na rede se um serviço tem o nome “WPAD” de forma a detetar uma configuração proxy. O computador tenta, de seguida, contar os diferentes tipos de serviços detetados.
Se estes exigirem autenticação, o computador inicia automaticamente com a conta do utilizador. Um atacante na rede pode explorar este mecanismo ao responder aos pedidos de descoberta e ao divulgar serviços falsos que exijam uma autenticação, por exemplo, através da ferramenta Responder.
No pior dos casos (versões antigas do Windows e/ou más configurações), o pirata informático pode recuperar diretamente a palavra-passe. Na maioria das vezes, obtém um hash (netNTLMv1 ou netNTMLv2) que permite decifrar a palavra-passe. Quanto mais fraca a palavra-passe (curta, presente num dicionário de palavras-passe...), mais fácil é decifrá-la.
Ao recuperar a password da conta Windows, o atacante pode então ligar-se a todos os serviços online da empresa, cuja autenticação se baseia unicamente (sem MFA) nesta conta (proxy, webmail, aplicações em nuvem, extranet, etc.). Ou ainda utilizar a palavra-passe no contexto de um ataque mais complexo no interior da rede da empresa.
Por fim, se o pirata informático não conseguir obter a palavra-passe, o hash recuperado poderá sempre ser utilizado no caso de ataques “NTLMRelay”. Embora esta ameaça seja muito baixa, no contexto de um ataque através da rede local, permanece possível.
Pré-requisitos:
- O atacante conseguiu aceder à rede local;
- A configuração de rede utiliza os protocolos LLMNR e/ou NBT-NS (é o que acontece por predefinição no Windows 10 em redes “privadas”);
- A palavra-passe do Windows é fraca.
Impactos do ciberataque:
- Recuperação da palavra-passe da conta Windows.
As nossas recomendações para o teletrabalho, à atenção dos CISO:
- Desativar o protocolo LLMNR e NBT-NS em todas as estações de utilizador da empresa;
- Obrigar todos os computadores da frota a assumir as novas redes como redes "públicas”, e impedir os utilizadores de modificarem essa escolha (Network List Manager Policies);
- Colocar em prática uma política de palavra-passe que bloqueie as palavras-passe fracas.
As nossas recomendações para o teletrabalho, à atenção dos utilizadores:
- No momento em que o computador se conecta a uma rede, nunca o declarar como rede “privada” a menos que haja confiança absoluta em todos equipamentos que estão ligados à rede;
- Utilizar uma palavra-passe forte.
Embora o acesso a uma rede local para atingir uma empresa exija uma certa motivação, estes diferentes cenários são bastante fáceis de pôr em prática por um atacante preparado. No entanto, não são as únicas ameaças. De uma forma generalizada, o teletrabalho aumenta certos riscos devido a:
- Aumento da superfície expostas das empresas na internet (VPN, extranet, etc.);
- Ausência de contactos presenciais que facilita o “social engineering”, uma prática de pirataria que se baseia na manipulação;
- Uso frequente de soluções de colaboração e de discussão à distância que, por vezes, não são suficientemente seguras.
Foi o caso do Zoom, por exemplo, onde foram encontrados vários RCE durante o primeiro confinamento (CVE-2020-6109 e CVE-2020-6110). Durante este período, foi registado um número muito elevado de ataques e tentativas de ataques.
Para fazer face ao aumento e à sofisticação dos ciberataques, é fundamental que a segurança dos sistemas informáticos seja pensada de forma individual, com testes regulares de penetração das estações de trabalho, e que os funcionários sejam sensibilizados para os riscos inerentes à cibercriminalidade.