Utmaningar med säker fjärråtkomst (remote access)

Download the full whitepaper

Denna tabell sammanfattar resultaten från vår forskning daterad 6 augusti 2020, som påvisar godkänt / misslyckat resultat av 4 olika produkter för fjärråtkomst (remote access), i fyra olika scenarier, mot 6 olika tekniska attacker.

På x-axeln hittar du de olika produkterna, y-axeln visar attackscenarierna.

Rött betyder att attacken kan genomföras med framgång, grönt betyder att attacken kan förhindras med VPN.

Det allmänna mönstret visar en tydlig tendens: medan de flesta (men inte alla) attacker kan förhindras i online / lockdown-läge finns det praktiskt taget inget skydd alls i offline / standardläge.

Övrigt på denna sida hittar du:

  • Dokumentation och uppdateringar från BlackHat 2020
  • Terminologi
  • Bakgrund – Är säker fjärråtkomst verkligen säker?
  • Undersökning – virtuella privata nätverk – räcker det?
  • Vad förväntar vi oss att ett VPN ska göra?
  • Attackscenarier
  • Testmiljö
  • Resultatöversikt
  • Demoklipp

Om du har några frågor eller kommentarer, kontakta oss via lars.bornholm[at]orangecyberdefense.com

Dokumentation och uppdateringar från BlackHat 2020

Whitepaper

06 August 2020



Ladda ner här.




Ladda ner Whitepaper

Vanliga frågor

06 August 2020



Få svar på några av de frågor vår research team får in mest.



Vanliga frågor

Security Weekly Hacker Summer Camp

03 August 2020



Se vår intervju med Paul Asadoorian från Security Weekly podden, som diskuterar deras virtual 'Hacker Summer Camp' program till Black Hat 2020.


Intervju med Security Weekly

Black Hat presentationssida

06 August 2020



Se mer av vår presentation på Black Hat 2020.




Visit Black Hat presentation page

Palo Alto Networks Security Advisory

06 August 2020



Palo Alto Networks utfärdade en "advisory": PAN-SA-2020-0009 - 'Informational: Mitigating threats for GlobalProtect clients connecting from untrusted networks'.

Läs Palo Alto Networks Advisory


Terminologi

Den här sidan undersöker säkerhetsegenskaperna för en gruppering som vi främst kommer att referera till som “virtuella privata nätverk” eller “VPN”. Eftersom vi i vår verksamhet dagligdags säljer och implementerar säkerhetslösningar av denna typ, anser vi det korrekt att använda det begreppet och att det exakt fångar den klassificering av verktyg som vi utforskar. Det används även av några av de leverantörer som vi undersöker för att beskriva sig själva. Termen “VPN” används dock mycket bredare än detta och expanderar till (till och med har sitt ursprung i) site-till-site-kopplingar i företagsnätverk och MPLS ‘virtual private network’ och ‘virtual private routed network’, etc

Vår research och denna sida undersöker inte teknologier som används under denna bredare definition av termen “VPN”.

En annan term som används för att beskriva teknologierna vi diskuterar är “Secure Remote Access” eller “Remote Access Security”. Återigen används det här uttrycket i stor utsträckning för att beskriva teknologierna vi diskuterar här men sträcker sig också för att omfatta en annan klass av tekniker som används för fjärråtkomst till stationära datorer direkt över ett nätverk. Återigen är den senare gruppen inte det vi diskuterar här.

Denna undersökning som presenteras på den här sidan diskuterar ‘Virtual Private Network’ eller ‘Secure Remote Access’ -teknologier som gör det möjligt för en fjärranvändare på en klient som en bärbar dator eller surfplatta att ansluta till en företagsmiljö via ett opålitligt nätverk ,som Internet, genom användarverifiering (autentisering) och att skapa en krypterad virtuell tunnel mellan en agent på datorn och en gateway distribuerad i nätverkets omkrets.

Är Secure Remote Access verkligen säker?

På den här sidan kommer vi att dela undersökningen  som vi har genomfört kring effektiviteten av kommersiella lösningar för Secure Remote Access (eller “VPN”) vid användande av typiska moderna mobila enheter, olika klient-teknologier och aktuella hotbilder.

Eftersom miljontals användare över hela världen arbetar hemifrån och är beroende av VPN-teknologier för att få åtkomst till företagssystem och data, undersöker vi frågan om säkerhet för företagens klienter i icke tillförlitliga nätverk och undersöker vilken roll VPN-teknik kan förväntas spela för att säkerställa skyddet för dessa enheter och data de genererar.

Vi undersöker frågan om vilken säkerhet vi som användare förmodligen förväntar oss av VPN-programvara, vidare undersöker vi sedan metodiskt flera VPN-implementeringar för att avgöra om vi verkligen får det vi tror.

Kortfattat:

Virtuella privata nätverk - räcker det?

Denna sida fungerar som en bilaga till ett researchdokument som Orange Cyberdefense presenterade på BlackHat Briefings, USA, den 6 augusti 2020.

Eftersom undersökningen innebar ett väsentligt och kontinuerligt engagemang med flera teknologileverantörer av VPN-plattformarna, så förväntas resultaten av studien ändras regelbundet. För att hålla informationen aktuell kommer vi att dela de senaste resultatdatat och andra uppdateringar, tillsammans med kopior av presentationen, whitepaper och demofilmer (på engelska) på denna sida.

Visit the Black Hat presentation site

Om Secure Remote Access är den logiska förlängningen av ett privat nätverk till en annan plats, och om vi antar att den "andra platsen" är ett Wi-Fi-nätverk som antingen är komprometterat eller skadligt- hur mycket skydd ger företagens fjärråtkomstlösningar mot vanliga hot vi rimligen kan förvänta oss att möta?

Vad förväntar vi oss att ett VPN ska göra?

Virtuella privata nätverk fyller en typ av hybridroll mellan nätverks- och säkerhetsdomäner. I stor utsträckning underlättar tekniken tillgång till interna nätverksresurser. Detta är befäst i användningsfallet, men med en uppsättning säkerhetskrav som gör det möjligt för anslutningen att vara ‘privat’ som namnet antyder.

Visst förväntar vi oss att de data som överförs mellan en klient och målet kommer att vara krypterade på rätt sätt och motståndskraftigt mot manipulation och driftstörning när det krävs. Detta verkar dock otillräckligt för att beskriva den fulla uppsättningen funktioner som krävs, för att låta en fjärranvändare arbeta på det interna nätverket med samma säkerhetsnivå som en användare ansluten till LAN.

I syftet med denna forskning säger vi att förväntningarna användare har på VPN-teknik kan uttryckas i form av idén om "likvärdighet"

När man möter ett säkerhetshot ska en användare som är ansluten på distans via VPN förvänta sig ett ”motsvarande” skydd för en användare som är direkt ansluten till företagets LAN.

Genom denna definition skulle vi kunna hävda att varje scenario där en VPN-ansluten dator är mer sårbar för en form av attack än dess LAN-anslutna motsvarighet, utgör ett säkerhetsfel av VPN-lösningen.

Det bör vara tydligt att ett “säkerhetsfel” enligt denna definition inte utgör en omedelbar exploaterbar sårbarhet. Vi hävdar emellertid att sådana fel i säkerheten är viktiga att förstå utifrån ett riskhanteringsperspektiv. Dessutom kommer vi att visa med våra Proof of Concept-videor nedan att vissa av dessa fel i själva verket kan översättas till tekniska sårbarheter som kan utnyttjas med betydande konsekvenser för företagets säkerhet

Attackscenarier

För denna undersökning är det viktigt att förstå de grundläggande hoten mot sekretess, integritet och åtkomstkontroll som VPN är tänkt att skydda den typiska företagsanvändaren mot. Vi fokuserade på följande:

Upptäcka känslig data

Extrahera känslig information, så som inloggningsuppgifter.

DNS "person i mitten" (person in the middle, PiTM) eller förfalskning

Angriparen matar falska DNS-svar på legitima förfrågningar från klienten och kontrollerar därmed var den efterföljande anslutningen slutligen slutar. Detta är en föregångare till flera andra attacker, som förfalskade webbplatser.

Åtkomst till inloggningsuppgifter via förfalskad webbplats

När angriparen kontrollerar DNS och routing (som de kan göra med en skadlig accesspunkt) kan de presentera användaren en falsk inloggningssida till vanliga applikationer/resurser , som ex O365, för att komma åt inloggningsuppgifter.

Att fånga Windows hashes via responder

"Responder" -attacker innebär att lura Windows-system att ansluta till en falsk Windows-tjänst, som i sin tur begär autentisering och sedan fångar lösenordets hash som skickas. Detta möjliggör ytterligare attacker mot Active Directory.

Använda webbläsaren som en tunnelproxy

När angriparen kontrollerar DNS och routing (med en skadlig accesspunkt) kan de injicera kod på legitima webbplatser för att utöva fjärrkontroll över offrets dator, t.ex. genom att använda den som en punkt för tunneltrafik till företagets nätverk.

Använda IPv6 för att interagera med en ”värd”

De flesta företagets VPN-teknologier är utformade för att skydda IPv4-trafik, men många klienter kör nu också IPv6-stack som kan användas för att kommunicera på LAN och Internet. Om VPN inte kontrollerar IPv6, så presenteras en öppen kanal för angriparen att kommunicera med datorn.

Testmiljön

En standard nätverkskonfiguration användes för att testa alla VPN-produkter som ingår i denna studie. Det enkla nätverket visas nedan. Det viktiga elementet att notera är att Access Point (och därmed Captive Portal) kontrolleras av den skadliga aktören, som därför också är i stånd att upptäcka eller injicera trafik till Wi-Fi-nätverket där ”offret” är anslutet.

Sammanfattning av leverantörens funktioner:

Resultat Standard-mode:

Attack VPN 1 (captured) VPN 2 (captured) VPN 3 (captured) VPN 4 (captured) VPN 1 (online) VPN 2 (online) VPN 3 (online) VPN 4 (online)
Sniffing sensitive data
DNS ‘person in the middle’ or spoofing
Harvesting credentials using spoofed website
Capturing Windows hashes via responder
Using the browser as a tunneling proxy
Using IPv6 to interact with host

Resultat Lockdown-mode:

Attack VPN 1 (captured) VPN 2 (captured) VPN 3 (captured) VPN 4 (captured) VPN 1 (online) VPN 2 (online) VPN 3 (online) VPN 4 (online)
Sniffing sensitive data
DNS ‘person in the middle’ or spoofing
Harvesting credentials using spoofed website
Capturing Windows hashes via responder
Using the browser as a tunneling proxy
Using IPv6 to interact with host

Demo 1

Malware ändrar sökning för att göra en Wi-Fi Access Point skadlig

I denna enkla demonstration vill vi illustrera poängen att riskerna vi belyser i vår forskning inte bara är begränsade till Captive Portal-miljöer, utan också kan tillämpas direkt för att skadliggöra Wi-Fi-hemmiljöer hemma, och potentiellt i en betydande omfattning.

Videon visar ett enkelt skript som angriper en vanlig standard Wi-Fi-router via ”brute-force” och sedan skriver över DHCP-konfigurationen så att ‘DNS Search Suffix’ ändras till en domän som kontrolleras av angriparen.

Med denna förändring kommer varje försök att få tillgång till ett okvalificerat värdnamn (värdnamn utan ett fullständigt DNS-domänsuffix (som vanligtvis finns inom företagsmiljöer) att leda till att den resulterande anslutningen riktas till en server under angriparens kontroll, där Windows-lösenordets hash kan stjälas eller användas av angriparen.

Demo 2

Windows-information från en dator på en capture portal

Det här testet visar att det finns en möjlighet att fånga uppgifter som kan användas för att utge sig för att vara den användaren. Vi undersöker vilken roll en VPN-klient spelar, som är konfigurerad som “alltid på”, för att anpassas till captive portals.

Demon antar att fjärranvändaren har anslutit sig till portalen för Wi-Fi-åtkomst och att de ännu inte har fått Internet-åtkomst. Detta innebär också att VPN inte är aktivt ännu.

Demo 3

Tunnla över ett VPN med Captive Portal och Javascript

Detta test åskådliggör en teoretisk risk som visar att det finns möjlighet att använda webbläsaren för en fjärranvändare för att få åtkomst till resurser på företagets LAN. Demonstrationen antar att fjärranvändaren använder en fullständig tunnel-VPN med kontroller som låter den interagera med en captive portal.

 

En speciell JavaScript-resurs, kallad en BeEF-krok, injiceras i fjärranvändarens webbsession innan VPN-tunneln är helt etablerad. BeEF-kroken förblir aktiv om webbläsarfliken förblir öppen och användaren inte bläddrar bort till en annan webbplats. När tunneln är etablerad spolas klientens DNS-cache (av VPN) men angriparen använder samma värdnamn som annonseras via offentlig DNS för att fortsätta kontrollera Javascript-kroken.

När VPN-förbindelsen väl är uppe, så tillåts BeEF-kroken att utföra vardagliga interaktioner med resurser på företagets nätverk.

Vi hävdar att det captive portal-scenariot som vi skissar också gäller för en komprometterad Wi-Fi-router hemma.