Dieser Tage überhäufen sich die Social Media Posts wegen Corona-Virus (CoViD-19 bzw. SARS-CoV-2) und Home Office. Wir bei der NSIDE haben uns gedacht: Da machen wir doch mit! Der Unterschied zu den vielen anderen Posts: Wir betrachten Home Office-Settings nicht aus Firmen- und Verteidiger-, sondern aus Angreifersicht.

Die Ausgangslage

Sie haben Ihre Mitarbeiter ins Home Office geschickt. Dort sitzen die Kollegen nun mit ihren Arbeitslaptops oder, im schlimmeren Fall, mit ihren Privatgeräten (privater PC oder Laptop, Smartphone oder Tablet) und greifen von daheim auf sensibelste Unternehmensdaten zu. Und da fängt der Spaß für die Angreifer schon an.

Angriffe daheim

Wenn Ihre Mitarbeiter von daheim auf Ihre Unternehmensressourcen zugreifen, haben Sie potentiell mehrere Probleme. Wenn Sie zum Beispiel nicht den gesamten Netzwerkverkehr des Geräts durch Ihre VPN-Appliance leiten, haben Sie ein Split-Horizon-Problem: Datenverkehr mit Ziel ins oder Ursprung aus dem Internet kann nicht mehr kontrolliert werden. Ihre Mitarbeiter können sich auf der einen Seite über ihren privaten Internetanschluss Schadsoftware einfangen, der dann auf der anderen Seite über die aktive VPN-Verbindung Zugriff auf Unternehmensressourcen erhält. Eine Infektion von Ransomware/Krypto-Trojanern, die auf das Arbeitslaptop via privatem Internetanschluss geschieht und dann via VPN auf das Unternehmensnetz übergreift, ist leider definitiv möglich. Dies gilt umso mehr, da Ihre Mitarbeiter im Home Office viel eher dazu tendieren, zur Arbeitszeit auch privat im Netz zu surfen.

Gefahren lauern aber auch im heimischen Netz Ihrer Mitarbeiter: Über verschiedene Wege können Angreifer, die bereits im Netz sind oder andere Systeme in selbigem unter ihrer Kontrolle haben, auch Arbeitsgeräte unter ihre Kontrolle bringen. Zu den Techniken, die dies ermöglichen, gehören Man in the Middle-Angriffe (z.B. via ARP oder DNS), die Schadcode in die Downloads des Arbeitsgeräts ihrer Mitarbeiter einschleusen können, wenn diese nicht über ein VPN gesichert oder durch den zweiten Horizont laufen. Ebenfalls besteht die Möglichkeit von Angriffen gegen Broadcast-Namensauflösung, z.B. gegen NetBIOS NS oder LLMNR. Man nennt diese auch Responder-Angriffe.

Bei Zugriffen durch Privatgeräte bestehen ebenfalls viele Risiken: Bei Smartphones gelten übliche BYOD-Risiken, denen man mit Container-Lösungen mehr oder minder effektiv entgegentreten kann. Einige Firmen erlauben jedoch auch den Zugriff auf Firmensysteme von Privatcomputern (PC oder Laptop) per Citrix. Die Vergangenheit hat immer wieder gezeigt, dass Citrix nicht in der Lage ist, Nutzer effektiv zu beschränken. Man spricht hier auch von Kiosk Breakouts oder Citrix Breakouts.

Angriffe gegen Ihre Infrastruktur

Doch nicht nur am heimischen Arbeitsplatz Ihrer Mitarbeiter lauern Gefahren für Ihr Unternehmen. Auch Ihre Home Office-Infrastruktur kann attackiert werden. Wenn RDP direkt aus dem Internet erreichbar ist, können Angreifer Passwörter erraten oder Nutzerkonten sperren, sodass Ihre Mitarbeiter nicht mehr arbeiten können. Auch ist RDP generell ein großes Risiko, da hierin oft Sicherheitslücken entdeckt werden, die zur Übernahme der Terminal-Server führen können. Diese wiederum dienen dann als Einfallstor, sodass Ihre Firma vollständig gehackt werden kann.

Falls Sie Zugriff auf Ihre per Internet zur Verfügung gestellten Dienste nur mit Nutzernamen und Passwort, d.h. ohne Zwei- bzw. Multi-Faktor-Authentifizierung anbieten, haben Angreifer große Chancen, auf diese zuzugreifen. Sie können zum Beispiel gültige Credentials in vergangenen Leaks/Dumps finden oder diese per (Spear) Phishing erlangen. Daher ist eine Absicherung mit Zwei- bzw. Multi-Faktor-Authentifizierung unabdingbar.

Auch beim Einsatz von VPN gibt es einiges zu beachten: Sie sollten überlegen, ob Sie ein Split-Horizon-Szenario konfigurieren oder zur besseren Überprüfbarkeit Ihrer Mitarbeiter sämtlichen Verkehr über Ihr Unternehmensnetz leiten. Dabei müssen Ihre VPN-Gateways im Fall von IKE- bzw. IPsec-VPN so konfiguriert sein, dass der Aggressive Mode deaktiviert ist – sonst können Angreifer durch Ausnutzen des Aggressive Mode unter Umständen an gültige VPN-Zugangsdaten gelangen.

Im Fall von SSL-VPN oder sogar Web-Anwendungs-VPN-Gateways müssen Sie sicherstellen, dass Zertifikate sauber geprüft werden und dass die Verschlüsselung nicht für übliche SSL- und TLS-Angriffe anfällig ist. Auch müssen, falls Sie solche einsetzen, Nutzerzertifikate oder andere VPN-Zugangsdaten auf jeden Fall gegen unbefugtes Abgreifen auf den Arbeitsgeräten geschützt werden.

Wie schon oben beschrieben gibt es auch beim Einsatz von Citrix und anderen Remote-Access-Lösungen einiges zu beachten: Oft gibt es für findige Nutzer und Angreifer die Möglichkeit, aus einzelnen gestreamten Anwendungen auszubrechen („Citrix Breakout“). Darauf sollten Sie vorbereitet sein und zusätzliche Maßnahmen ergreifen.

Hoaxes und Social Engineering mit Corona-Bezug

Viele Cyber-Kriminelle machen sich die aktuelle Lage zu Nutze und verbreiten Schadsoftware, Phishing-Mails und andere Scams wie Falschmeldungen mit Bezug auf die Corona-Krise. Anwendern werden zum Beispiel wichtige Dokumente mit dringenden Informationen versprochen, oder (natürlich infizierte) Anwendungen, die angeblich von Behörden oder Ministerien stammen und die Bevölkerung auf dem Laufenden halten sollen.

Zentrale Steuerung und Konfiguration

Sie müssen auch sicherstellen, dass Sie die Arbeitsgeräte all Ihrer Mitarbeiter aus der Ferne auf lange Zeit kontrollieren, konfigurieren, warten und alle Software und das Betriebssystem mit Sicherheitsaktualisierungen versorgen können. Andernfalls haben Angreifer leichtes Spiel, die Arbeitsgeräte und über diese dann Ihr Firmennetz zu attackieren.

Zusammenfassung

Wie man sieht, haben Angreifer viele potentielle Einstiegspunkte gegen Home-Office-Mitarbeiter, ihre Arbeitsgeräte und die dazugehörige Infrastruktur im Firmennetz. Wenn Sie Ihr Home-Office-Setup auf seine Sicherheit überprüfen wollen, steht Ihnen NSIDE Attack Logic gerne zur Verfügung. Gerne können wir Ihnen auch aus unserem Netzwerk Partner vermitteln, die Ihnen helfen können, eine entsprechende Infrastruktur aufzubauen oder als Managed Services zur Verfügung stellen. Melden Sie sich!