Archive for the ‘Security’ Category.

Endpoint beskyttelse mod Serpent Ransomware

Jeg fik forleden dag tilsendt en mail af en person, som bad mig kigge på det link der var i mailen.
Jeg fandt ud af, at der var tale om en ny ransomware variant, som kaldes Serpent og rammer danske brugere.
https://www.proofpoint.com/us/threat-insight/post/new-serpent-ransomware-targets-danish-speakers

Den bliver distribueret via en såkaldt Spear Phishing mail, hvor navn og firma er korrekt beskrevet og sproget virker også forholdsvis troværdigt.
Jeg har tidligere blogget omkring endpoint beskyttelse i et Microsoft miljø.
http://blog.jravn.dk/?p=2401

Så jeg tænkte, at jeg ville prøve en række af disse tidligere beskrevet sikkerhedslag af i praksis, mod Serpent Ransomware.
Første lag jeg testede med, var den Microsoft service som hedder Office 365 Advanced Threat Protection (Office 365 ATP).
https://products.office.com/en/exchange/online-email-threat-protection

Jeg sendte således mailen fra min hotmail account til min test Office 365 mail, hvor jeg havde Office 365 Advanced Threat Protection aktiveret.

I mailen kan man se, at Office 365 ATP har erstattet det originale link med Safe Links.

Når jeg klikker på linket, bliver jeg gjort opmærksom på, at jeg ikke kan komme videre.
Jeg kan heller ikke klikke på linket tomrer…Jeg kan kun vælge “Luk denne side”

Da næsten alt ransomware kommer ind til brugeren via mail, mener jeg denne Office 365 ATP service er rigtig vigtig, at have implementeret i sin Enterprise i dag.
Vi antager nu at mailen var sluppet forbi Office 365 ATP eller virksomheden ikke har fået implementeret denne service endnu.
Jeg åbner den samme mail fra min Hotmail. Læg mærke til at linket ikke har ændret sig.

Jeg klikker på linket og åbner et Word dokument.

Jeg klikker på “Aktiver redigering”. Men Makroen bliver blokeret, fordi jeg har aktiveret endnu et sikkerhedslag, som i Office 2016, blokerer for makroer i Office dokumenter, som kommer fra internettet.
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Hvis denne sikkerhedspolitik ikke var sat, havde jeg downloadet og fået kørt Serpent Ransomwaren.

Som yderligere test, de-aktiverede jeg makro blokeringen i min Office 2016 og kørte Word dokumentet en gang til.
Jeg var logget på en test PC med Windows 10, hvor brugeren ikke havde lokal admin rettigheder. UAC var sat til max med Always Notify.
Via process explorer kunne jeg se, at den hentede to exe-filer, som blev eksekveret.
Men de fejlede i at lave privilege escalation med UAC bypass via eventvwr.exe.
Dette er også beskrevet i det første link, som omtaler Serpent Ransomware.

Serpent kørte i min test profil og krypterede de test filer jeg havde lavet forinden. Det var typisk i folderne desktop, documents, pictures mfl.

Ved at været logget på med standard bruger og UAC sat til max, kunne Serpent ikke lave privilege escalation og f.eks. kryptere andre brugerprofiler eller eksekvere yderligere malware i systemlaget.
Det er selvfølgelig slemt nok, at den krypterer alle data i user profilen, men de kan forhåbentlig hurtig genskabes igen.
Som den sidste test, loggede jeg på med en admin account og satte UAC til default setting. Her kunne Serpent lave privilege escalation via UAC bypass.

UAC bypass bliver rettet med den nye Windows 10 Creators Update.
http://www.winhelponline.com/blog/microsoft-fixes-eventvwr-exe-uac-bypass-exploit-windows-10-creators-update/

Min test, viste således, at for at opnå god sikkerhed, kræver det, at man implementere flere sikkerhedslag.
Men ingen tvivl om, at Office 365 ATP servicen kan være et effektivt sikkerhedslag mod ransomware, da brugerne ikke får lov at klikke på linket der fører til malware.

Se nedenstående link, for mere info om, hvordan Microsoft følger op på nuværende og fremtidige ransomware trusler/angreb.

Ransomware: a declining nuisance or an evolving menace?
https://blogs.technet.microsoft.com/mmpc/2017/02/14/ransomware-2016-threat-landscape-review/

 

Strategi for endpoint sikkerhed i et Microsoft miljø

Jeg vil i denne blog-post beskrive hvordan man kan sikre sine endpoints mod exploit/malware.
Jeg vil her fokusere på de forskellige sikkerhedslag, som Microsoft tilbyder i dag og liste dem som en step-by-step proces eller to-do liste.
De fleste at disse sikkerhedslag styres af velkendte Group Policy og kan derfor hurtig testes og udrulles på en nem måde til brugerne og deres computere.
Jeg håber derfor, at andre kan blive inspireret af dette skriv og komme i gang med Windows 10 og de nye nødvendige sikkerhedsfeatures, som følger med.

Jeg forudsætter at vi har et miljø, hvor man er i gang med at migrere fra Windows 7 til fordel for Windows 10 Enterprise nyeste version, uden lokal admin rettigheder.
Windows 7 blev designet for snart 10 år siden og tager ikke højde for de angrebsvektorer vi ser i dag og i fremtiden.

Første step er at implementere hvad Microsoft kalder Least-Privilege Administrative Models.
Hvis man f.eks. logger på en klient computer med en bruger, der er medlem af gruppen Domain Admin, kan der være risiko for at denne bruger bliver udnyttet af et Pass-the-hash eller keylogger angreb m.m.
Nedenstående link forklarer hvordan du begrænser login for kritiske admin grupper og brugere. Der meget tekst men den praktiske del er forholdsvis enkel at implementere.
https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Næste step er at konfigurere Local Administrator Password Solution (LAPS).
Med dette værktøj kan du give unikke password for den lokale administrator kontor, ude på de enkelte endpoints og angive tidsperiode hvornår de automatisk bliver skiftet.
Det er super enkelt at konfigurere og udrulle i virksomhedens infrastruktur via group policy. Nedenstående links giver en god forklaring på opsætning af LAPS.
https://www.systemcenterdudes.com/how-to-install-local-administrator-password-solution-laps/
https://www.microsoft.com/en-us/download/details.aspx?id=46899

Jeg vil nu se på de indbyggede sikkerhedslag, som Windows 10 Enterprise giver os. Igen styres mange af dem via group policies på en enkel og effektiv måde.
Nogle af disse sikkerhedslag kender vi også fra Windows 7. Men en kort opsummering skader vel ikke.

Jeg antager at man her benytter Microsoft Configuration Manager (SCCM) til deployment af Windows 10 image, samt hurtig udrulning af opdateringer/sikkerheds opdateringer til OS og applikationer.
Med SCCM kan du også lave nem og hurtig offline patchning af ens Windows 10 image.
Med overbygningsmodulet SoftwareCentral kan man ligeledes få et nemt deployment workflow ud til slutbrugerne.
https://blogs.technet.microsoft.com/enterprisemobility/2016/11/18/now-available-update-1610-for-system-center-configuration-manager/
http://www.mansoft.dk/softwarecentral.html

Alle brugerne logger kun på deres computere med en standard user accounts (ikke lokal admin).
Windows firewall er aktiveret for alle netværk domain-private-guest.
BitLocker er aktiveret via Microsoft SCCM image deployment.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/bitlocker-overview

Default lokal administrator account er disablet ude på de enkelte endpoints. Der oprettes en ny, som styres af LAPS.
Autoplay er disablet for alle drev.
Screensaver er sat med password.

UAC er konfigureret og er sat til max med Always notify.
https://www.petri.com/user-account-control-standard-user-versus-protected-administrator-accounts
https://technet.microsoft.com/itpro/windows/keep-secure/user-account-control-overview

UEFI Secure Boot er aktiveret for alle Windows 10 endpoints. Man kan også via SCCM 1610 lave UEFI conversion.
https://yungchou.wordpress.com/2016/03/04/an-introduction-of-uefi-secure-boot-in-windows-10-enterprise/
https://docs.microsoft.com/en-us/sccm/osd/deploy-use/task-sequence-steps-to-manage-bios-to-uefi-conversion

Aktivering af Windows Hello. Brugerne kan benytte denne nye feature.
PIN kan ikke misbruges over netværk. Kræver at man sidder fysisk ved computeren.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/why-a-pin-is-better-than-a-password

Microsoft Edge er sat som default browser og sikkerhedsfeaturen SmartScreen er aktiveret i Edge og IE via group policy.
https://blogs.windows.com/msedgedev/2015/12/16/smartscreen-drive-by-improvements/#lbVXETW63JgJwci7.97

Hvis man har ældre interne websites som ikke er kompatible med Edge, kan man benytte Enterprise Mode site list, hvor siderne automatisk åbnes i IE:
Det er super nemt at konfigurere og styres af group policy.
https://technet.microsoft.com/en-us/itpro/microsoft-edge/emie-to-improve-compatibility

Nedenstående lister en række quick wins, som bestemt også skal med i de samlede sikkerhedslag.
Med Windows 10 antager jeg, at man benytter nyeste kontorpakke Office 2016 Click-to-Run, som kommer med forbedret sikkerhed, samt understøttelse af Office 365 modern authentication.
Samtidig antager jeg at man benytter Windows Defender med Windows 10, som har den klare fordel og styrke, at den integrerer bedst med de andre sikkerhedslag i Windows 10.
Windows Defender er også bedst integreret med SCCM og Microsoft nye WATP. Mere om det senere.

Block the macro, block the threat
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Block untrusted fonts in an enterprise
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/block-untrusted-fonts-in-enterprise

Aktivering af Credential Guard, som effektivt beskytter mod Pass-the-Hash angreb. Er igen meget enkel at konfigurere og udrulle i et Windows 10 image.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard
https://bogner.sh/2015/05/an-introduction-to-pass-the-hash/

Detect and block Potentially Unwanted Application in Windows 10
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enable-pua-windows-defender-for-windows-10

Block at First Sight – Windows Defender cloud protection.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-block-at-first-sight

Microsoft tilbyder nu også en række sikkerheds-services i cloud, som er virkelige effektive og som kræver minimal konfiguration.
Med Office 365 E5 licens får man adgang til nye sikkerheds-services, som Office 365 Advanced Threat Protection og Windows Defender Advanced Threat Protection, som jeg mener er et must-have i dag.
Tilsammen giver de rigtig god beskyttelse og overblik mod malware trusler, som f.eks. ransomware.
https://blogs.windows.com/business/2016/11/11/defending-against-ransomware-with-windows-10-anniversary-update/#Zbv2tYIGLZckMpSb.97

Introducing Office 365 Advanced Threat Protection
https://blogs.office.com/2015/04/08/introducing-exchange-online-advanced-threat-protection/

Windows Defender Advanced Threat Protection (ATP) er en ny og superfed cloud service, der analyserer og rapporterer om healt state for de enkelte endpoint via en række nye teknikker.
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection

ATP servicen er med i Windows 10 fra version 1607 og config policy kan udrulles til endpoints via SCCM på en nem og enkel måde.
For mere info til dette se nedenstående links.
https://osddeployment.dk/2016/11/16/how-to-setup-windows-defender-advanced-protection-windows-10-enterprise-e5/
https://osddeployment.dk/2016/11/16/how-to-get-windows-10-onboarded-with-windows-defender-atp-sccm-1610/

Jeg forventer mig rigtig meget af Windows Defender ATP og med den kommende Windows 10 Creators update, bliver det rigtig godt. Prøv at se nedenstående præsentation.

Windows Defender Advanced Threat Protection for Windows 10 in the Creators Update.
https://www.youtube.com/watch?v=2CzqJmNBpzc

Windows 10 Creators Update advances security and best-in-class modern IT tools
https://blogs.windows.com/business/2016/12/06/windows-10-creators-update-advances-security-best-class-modern-tools/#BhH7G1pcAtt9DXof.97

Afslutningsvis vil jeg kort beskrive de backup muligheder for endpoints, der kommer med Windows 10 og Office 365/Azure.
Som udgangspunkt re-installerer man et endpoint, hvis det bliver inficeret med malware. Med SCCM og windows 10 tager det ca. 30 min.
Men hvad med brugerdata og den tidligere opsætning for OS og applikationer. Her giver Microsoft en række rigtig gode muligheder for at lave en backup og restore af dette.

OneDrive for Business til personlig data/billeder m.m. Hvis det bliver nuket af f.eks. ransomware, kan det hele restores igen.
https://support.office.com/en-us/article/Get-started-with-the-new-OneDrive-sync-client-in-Windows-615391c4-2bd3-4aae-a42a-858262e42a49?ui=en-US&rs=en-US&ad=US&fromAR=1

For firma relateret data kan man nu begynde at bruge Office Groups/Teams
https://blogs.office.com/2016/11/02/introducing-microsoft-teams-the-chat-based-workspace-in-office-365/

Backup af OS og Office settings kan nemt udføres via services, som UE-V og Enterprise State Roaming i Azure.
Med UE-V kan du lave en backup af brugerens Outlook profil med tilhørende signatur, samt netværks printere.
https://technet.microsoft.com/en-us/itpro/windows/manage/uev-for-windows

Resten kan udføres automatisk med den nye Azure feature som hedder Enterprise State Roaming.
Her kan man synkronisere settings som Egde og IE favoritter, baggrunds billede, password fra credential manager, Wi-Fi profiler m.m.

Enterprise State Roaming overview
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-overview

Enable Enterprise State Roaming in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-windows-enterprise-state-roaming-enable

Nedenstående sikkerhedslag og services har jeg valgt ikke at tage med i denne blog-post, da de som udgangspunkt kan kræve rigtig meget analyse, planlægning og test.
Windows 10 Device Guard med AppLocker
Microsoft Enterprise Mobility Suite (EMS)

Java – Zero-Day Exploit

Den seneste kritiske sårbarhed i Java (JRE) tillader at afvikle en usigneret applet uden for sandboxen med fulde admin rettigheder.

Oracle Security Alert for CVE-2013-0422
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

CVE-2013-0422
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0422

Hullet er nu lukket, da Oracle helt udsædevanligt udsendte en patch kort tid efter, som kan hentes fra Oracle web site.
http://java.com/en/download/manual.jsp

Jeg testede effekten af denne sårbarhed på en fuld opdateret Windows 7 x64 med Java 7 update 9.
Via websites med det kendte Blackhole Exploit Kit, bliver en trojaner downloadet og eksekeveret uden nogen form for brugerinput eller accept.
Dette kan ses på nedenstående billede.

Capture_01

Ved at oploade filen til Virustotal, kan man se, at det kun er 2 ud af 44 Antivirus produkter der kender denne fil.

Capture_02

Der er her tale om en nasty trojaner, som downloader yderligere malware, når den først er kommet ind på systemet.

Capture_03

Når man læser de udlandske blogs og sikkerhedsfora, er den generelle holdning og anbefaling bare at afinstallere Java, da denne ikke er nødvendig længere, for at tilgå de diverse online systemer i dag. Herhjemme er vi desværre tvunget til at benytte Java (JRE) pga. af vores nuværende NemID løsning.
Hvis man kigger forbi sitet version2.dk vil man kunne se en massiv kritik af NemID, hvor en række kompetente debattører, giver deres holdning og kritik til kende.
Rent sikkerhedsmæssigt er Java (JRE) i dag, en kæmpe IT katastrofe og det inkompetente sikkerhedsteam fra Oracle har nu trukket Java helt ned i sølet.
Dette kan illustreres med nedenstående links.

Ifølge Kaspersky havde Java en andel i 2012 på 50% af alle malware angreb, pga. af dens mange sårbarheder. Til sammenligning havde Windows og IE en andel på 3%

Oracle Java surpasses Adobe Reader as the most frequently exploited software
http://www.kaspersky.com/about/news/virus/2012/Oracle_Java_surpasses_Adobe_Reader_as_the_most_frequently_exploited_software

Som tidligere nævnt, udsendte Oracle en patch til den seneste 0-day exploit. Men problemerne for Oracle og Java stopper ikke her. Et sikkerhedsfirma har nu lavet en PoC på en ny kritisk sårbarhed, som igen udstiller Oracle som de rene amatører og Java som en håbløs skod applikation.

Critical Java vulnerabilies confirmed in latest version
http://arstechnica.com/security/2013/01/critical-java-vulnerabilies-confirmed-in-latest-version/

Læg dertil, at Java som applikation er helt umulig at administrere for private og virksomheder.
Den har en buggy updater og installerer default ASK toolbar. Når man endelig kan opdatere efter 3-4 klik lukker den herefter hele browseren.

Pointen med denne blog-post må således være noget i denne stil.
Java burde forbydes ved lov og skal sparkes ud af NemID ASAP.

Afslutningsvis vil jeg kort bekrive hvordan man på en simpel og effektiv måde kan beskytte sig mod malware og zero-day exploit.

1. Opdater OS og Apps
2. For IE9/10, aktiver SmartScreen og ActiveX filtering
3. Sikre dig at du har et opdateret AV (f.eks. MSE)
4. Brug din sunde fornuft og afvis alt du ikke selv har bedt om.

Referencer til ovenstående punkter:

IE9 with SmartScreen Leads Malware Protection Once Again
http://blogs.technet.com/b/privacyimperative/archive/2011/08/16/ie9-with-smartscreen-leads-malware-protection-once-again.aspx

SmartScreen® Application Reputation in IE9
http://blogs.msdn.com/b/ie/archive/2011/05/17/smartscreen-174-application-reputation-in-ie9.aspx

ActiveX Filtering for Consumers
http://blogs.msdn.com/b/ie/archive/2011/02/28/activex-filtering-for-consumers.aspx

Protect yourself from Flash attacks in Internet Explorer
http://www.zdnet.com/protect-yourself-from-flash-attacks-in-internet-explorer-7000003921/

Building Reputation with Microsoft Security Essentials
http://blogs.technet.com/b/mmpc/archive/2011/03/23/building-reputation-with-microsoft-security-essentials.aspx

Normalt giver jeg ikke så meget for diverse AV test. Men denne her syntes jeg er lidt interessant.
Den har testet anti-phishing protection i de mest kendte browsere. Dette er vigtigt fordi browseren er såkaldt first line of defence mod phishing og malware.

Browser Anti-Phishing-Test December 2012
http://av-comparatives.org/comparativesreviews/anti-phishing-test/255-browser-anti-phishing-test-december-2012

Samlede resultat:

1. Opera 94.2%
2. Internet Explorer 82%
3. Google Chrome 72.4%
4. Apple Safari 65.6%
5. Mozilla Firefox 54.8%

God information omkring IT sikkerhed fra Microsoft

Nedenstående lister en række gode links til generel IT sikkerhed, guides og råd fra Microsoft.

Microsoft Security Intelligence Report – Seneste sikkerheds rapport
http://www.microsoft.com/security/sir/default.aspx

Conficker Remains a Threat.
Rapporten fortæller bla. at ormen Conficker stadigvæk er meget aktiv. I sidste kvartal af 2011 hærgede den mere 1.7 millionner computere verden over.
Conficker kom frem i november 2008, så det viser med alt tydelighed hvor vigtigt det er, at få sikkerhedsopdateret sine systemer.
http://www.microsoft.com/security/sir/story/default.aspx#!conficker

Managing Risk – Hvordan du beskytter din organisation
http://www.microsoft.com/security/sir/strategy/default.aspx#!section_1

Windows 7: Security and Protection
http://technet.microsoft.com/en-us/library/dd571075(v=ws.10)

IT Pro Security Tools
http://technet.microsoft.com/en-us/security/cc297183

Security and Control
http://technet.microsoft.com/en-gb/windows/aa905062.aspx?ITPID=proplan

Security Research & Defense
http://blogs.technet.com/b/srd/

Microsoft Malware Protection Center – Threat Research & Response Blog
http://blogs.technet.com/b/mmpc/

Malware Protection Center – Threat Research and Response
https://www.microsoft.com/security/portal/

Microsoft Security Blog
http://blogs.technet.com/b/security/

Windows 7 Security Forums
http://social.technet.microsoft.com/Forums/en/w7itprosecurity/threads?page=1

Internet Explorer 9 Security Part 1: Enhanced Memory Protections
http://blogs.msdn.com/b/ie/archive/2011/03/07/internet-explorer-9-security-part-1-enhanced-memory-protections.aspx

Internet Explorer 9 Security Part 2: Protection from Socially Engineered Attacks
http://blogs.msdn.com/b/ie/archive/2011/03/10/internet-explorer-9-security-part-2-protection-from-socially-engineered-attacks.aspx

Internet Explorer 9 Security Part 3: Browse More Securely with Pinned Sites
http://blogs.msdn.com/b/ie/archive/2011/03/11/internet-explorer-9-security-part-3-browse-more-securely-with-pinned-sites.aspx

Internet Explorer 9 Security Part 4: Protecting Consumers from Malicious Mixed Content
http://blogs.msdn.com/b/ie/archive/2011/06/23/internet-explorer-9-security-part-4-protecting-consumers-from-malicious-mixed-content.aspx

Microsoft Standalone System Sweeper (beta)

MS system sweeper (MSSS) er et nyt antimalware/recovery tool fra Microsoft, der kan rense en maskine fra malware.
Den benytter samme engine som Microsoft Security Essentials.
Man kan her boote op på en DVD eller USB via Windows PE og rense den inficerede maskine.

Man kan p.t downloade MSSS fra Microsoft Connect.
http://connect.microsoft.com/systemsweeper

For mere info, se nedenstående links.

Microsoft Standalone System Sweeper Offline Virus Scanner
http://www.winhelponline.com/blog/standalone-system-sweeper-offline-scanner/

Setting Up the Microsoft Standalone System Sweeper Beta
http://securitygarden.blogspot.com/2011/06/setting-up-microsoft-standalone-system.html