自新冠肺炎(COVID-19)疫情以來,遠端工作模式已是許多上班族的常態。但礙於時間緊迫或建置成本等因素,IT人員在建置遠端工作環境的過程中,有可能因為疏忽,而產生網路安全的漏洞。這些漏洞若沒有即時發現及處理,很有可能被有心人士或駭客利用,公司內部的重要資料與機密資訊,將可能會暴露在風險當中。
近期案例中,發現某公司防火牆的Log訊息中,一台虛擬機定時對內部網路進行端口掃描,追查發現為開發人員為了方便在外出差遠端工作,在公司內部建立虛擬機,並使用TeamViewer遠端軟體,方便存取公司內部系統服務。我們對該虛擬機進行足跡分析後,發現疑似與官方公布漏洞CVE-2020-13699相關。該漏洞主要是駭客利用TeamViewer未適當處理URI的使用限制,駭客可以在URI值中嵌入惡意資料,誘使受害者點擊後,連回惡意Web網站並自動開啟遠端電腦的共享SMB服務。在開啟SMB服務後,Windows 會開始執行NTLM身分驗證請求獲取相關訊息,駭客則由遠端利用工具伺機竊取SMB分享內容,有機會取得受害者的系統登入密碼,並進行暴力破解。
該漏洞是屬於Unquoted URI handler,影響範圍URI handlers teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, and tvvpn1。
針對上述案例,NEITHNET專家提出以下三大防範策略,一旦威脅入侵,能即時中斷駭客Kill Chain,在攻擊初期即可阻斷,防止駭客拿取控制權、竊取帳戶密碼,協助企業建立完整的遠端辦公網路安全。
- 策略1:內網異常行為辨識
NEITHViewer主要針對內部網路異常行為辨識,不僅可以偵測內網掃描行為,更可以提供弱點攻擊偵測能力,當駭客進行TeamViewer弱點攻擊時,NEITHViewer則會觸發 EXPLOIT TeamViewer .iFrame Observed (CVE-2020-13699)事件,並能同時告警管理人員,即時處理惡意連線行為。
- 策略2:惡意網址檢測
以上述案例,當User無意點擊含有駭客設置的惡意Web網站時,透過NEITHDNS的DNS過濾惡意網址檢測功能,可以進行即時阻擋,防止User連至惡意Web網站後,在不知不覺中已被駭客入侵,被當成駭客入侵的跳板,甚至洩漏公司機密。
- 策略3:端點安全防護
運用NEITHSeeker MDR系統,找出端點內可能被安裝未更新且已有弱點的遠端控制軟體,如TeamViewer、Webex等,提醒管理者需要針對該軟體進行更新。此外,藉由NEITHSeeker提供即時情資比對,可即時告警該台電腦正在連線惡意Web網站,並由專家即時告警並且關閉該程式,避免端點被駭客侵入造成機密資料外洩。