No final da semana passada, a Microsoft publicou um relatório intitulado Análise das técnicas Storm-0558 para acesso não autorizado a e-mails.
Neste documento bastante dramático, a equipe de segurança da empresa revelou o pano de fundo de um hack anteriormente inexplicável no qual foram acessados dados, incluindo texto de e-mail, anexos e muito mais:
de aproximadamente 25 organizações, incluindo agências governamentais e contas de consumidores relacionadas na nuvem pública.
A má notícia, embora aparentemente apenas 25 organizações tenham sido atacadas, é que este crime cibernético pode, no entanto, ter afectado um grande número de indivíduos, dado que alguns órgãos governamentais dos EUA empregam entre dezenas e centenas de milhares de pessoas.
A boa notícia, pelo menos para a grande maioria de nós que não fomos expostos, é que os truques e desvios usados no ataque foram específicos o suficiente para que os caçadores de ameaças da Microsft pudessem rastreá-los de forma confiável, de modo que o total final de 25 organizações de fato parece ser uma lista completa de alvos.
Simplificando, se você ainda não ouviu diretamente da Microsoft sobre fazer parte desse hack (a empresa obviamente não publicou uma lista de vítimas), então você também pode presumir que está tudo bem.
Melhor ainda, se melhor é a palavra certa aqui, o ataque se baseou em duas falhas de segurança nas operações de back-end da Microsoft, o que significa que ambas as vulnerabilidades poderiam ser corrigidas “internamente”, sem enviar nenhum software do lado do cliente ou atualizações de configuração.
Isso significa que não há nenhum patch crítico que você precise instalar e instalar.
Os dias zero que não foram
Os dias zero, como você sabe, são falhas de segurança que os bandidos encontraram primeiro e descobriram como explorar, não deixando assim dias disponíveis durante os quais mesmo as equipes de segurança mais perspicazes e informadas poderiam ter corrigido antes dos ataques.
Tecnicamente, portanto, essas duas falhas do Storm-0558 podem ser consideradas de dia zero, porque os criminosos exploraram ativamente os bugs antes que a Microsoft fosse capaz de lidar com as vulnerabilidades envolvidas.
No entanto, dado que a Microsoft evitou cuidadosamente a palavra “dia zero” em sua própria cobertura, e dado que consertar as falhas não exigia que todos nós baixemos patches, você verá que nos referimos a eles no título acima como dias semi-zero, e deixaremos a descrição assim.
No entanto, a natureza dos dois problemas de segurança interligados neste caso é um lembrete vital de três coisas, nomeadamente que:
- A criptografia aplicada é difícil.
- A segmentação de segurança é difícil.
- A caça a ameaças é difícil.
Os primeiros sinais de maldade mostraram bandidos infiltrando-se furtivamente nos dados do Exchange das vítimas através do Outlook Web Access (OWA), usando tokens de autenticação adquiridos ilicitamente.
Normalmente, um token de autenticação é um cookie temporário da web, específico para cada serviço online que você usa, que o serviço envia ao seu navegador assim que você comprovar sua identidade com um padrão satisfatório.
Para estabelecer fortemente sua identidade no início de uma sessão, pode ser necessário inserir uma senha e um código 2FA único, apresentar um dispositivo criptográfico de “chave de acesso”, como um Yubikey, ou desbloquear e inserir um cartão inteligente em um leitor.
Depois disso, o cookie de autenticação emitido para o seu navegador funciona como um passe de curto prazo para que você não precise digitar sua senha ou apresentar seu dispositivo de segurança repetidamente para cada interação que você tiver com o site.
Você pode pensar no processo de login inicial como a apresentação de seu passaporte no balcão de check-in de uma companhia aérea, e o token de autenticação como o cartão de embarque que permite entrar no aeroporto e embarcar no avião para um voo específico.
Às vezes, você pode ser solicitado a reafirmar sua identidade mostrando seu passaporte novamente, como antes de entrar no avião, mas muitas vezes apenas mostrar o cartão de embarque será suficiente para estabelecer seu “direito de estar lá” ao fazer sua viagem. ao redor das partes do lado ar do aeroporto.
Explicações prováveis nem sempre estão certas
Quando os criminosos começam a aparecer com o token de autenticação de outra pessoa nos cabeçalhos HTTP das suas solicitações web, uma das explicações mais prováveis é que os criminosos já implantaram malware no computador da vítima.
Se esse malware for projetado para espionar o tráfego de rede da vítima, normalmente ele consegue ver os dados subjacentes depois de preparados para uso, mas antes de serem criptografados e enviados.
Isso significa que os criminosos podem espionar e roubar dados vitais de navegação privada, incluindo tokens de autenticação.
De modo geral, os invasores não conseguem mais detectar tokens de autenticação enquanto viajam pela Internet, como normalmente faziam até cerca de 2010. Isso ocorre porque todo serviço on-line confiável hoje em dia exige que o tráfego de e para usuários conectados via HTTPS. e apenas via HTTPS, abreviação de HTTP seguro.
HTTPS usa TLS, abreviação de segurança da camada de transporte, que faz o que seu nome sugere. Todos os dados são fortemente criptografados quando saem do navegador, mas antes de chegarem à rede, e não são descriptografados até chegarem ao servidor pretendido na outra extremidade. O mesmo processo de embaralhamento de dados de ponta a ponta acontece ao contrário para os dados que o servidor envia de volta em suas respostas, mesmo se você tentar recuperar dados que não existem e tudo o que o servidor precisa lhe dizer é superficial. 404 Page not found
.
Felizmente, os caçadores de ameaças da Microsoft logo perceberam que as interações fraudulentas por e-mail não se deviam a um problema desencadeado no lado do cliente da conexão de rede, uma suposição que teria levado as organizações vítimas a 25 buscas inúteis separadas em busca de malware que fosse não está aí.
A próxima explicação mais provável é aquela que, em teoria, é mais fácil de corrigir (porque pode ser corrigida para todos de uma só vez), mas na prática é mais alarmante para os clientes, nomeadamente que os criminosos comprometeram de alguma forma o processo de criação de autenticação tokens em primeiro lugar.
Uma maneira de fazer isso seria invadir os servidores que os geram e implantar um backdoor para produzir um token válido sem primeiro verificar a identidade do usuário.
Outra forma, que aparentemente foi a que a Microsoft investigou originalmente, é que os invasores conseguiram roubar dados suficientes dos servidores de autenticação para gerar tokens de autenticação fraudulentos, mas de aparência válida, para si próprios.
Isso implicava que os invasores conseguiram roubar uma das chaves de assinatura criptográfica que o servidor de autenticação usa para carimbar um “selo de validade” nos tokens que emite, para tornar praticamente impossível para qualquer pessoa criar um token falso. isso seria aprovado.
Ao usar uma chave privada segura para adicionar uma assinatura digital a cada token de acesso emitido, um servidor de autenticação torna mais fácil para qualquer outro servidor no ecossistema verificar a validade dos tokens que recebe. Dessa forma, o servidor de autenticação pode até mesmo funcionar de forma confiável em diferentes redes e serviços, sem nunca precisar compartilhar (e atualizar regularmente) uma lista vazada de tokens reais e conhecidos.
Um hack que não deveria funcionar
A Microsoft finalmente determinou que os tokens de acesso não autorizados no ataque Storm-0558 foram assinados legitimamente, o que parecia sugerir que alguém realmente havia roubado uma chave de assinatura da empresa…
…mas na verdade não eram o tipo certo de token.
Supõe-se que as contas corporativas sejam autenticadas na nuvem usando tokens do Azure Active Directory (AD), mas esses tokens de ataque falsos foram assinados com o que é conhecido como chave MSA, abreviação de conta da Microsoft, o que é aparente no inicialismo usado para se referir a contas de consumidores independentes, em vez de contas corporativas baseadas em AD.
Em termos gerais, os criminosos estavam cunhando tokens de autenticação falsos que passaram nas verificações de segurança da Microsoft, mas esses tokens foram assinados como se fossem para um usuário que faz login em uma conta pessoal do Outlook.com, em vez de para um usuário corporativo que faz login em uma conta corporativa.
Em uma palavra, "O que?!!?!"
Aparentemente, os criminosos não foram capazes de roubar uma chave de assinatura de nível corporativo, apenas uma chave de nível de consumidor (isso não é um menosprezo dos usuários de nível consumidor, apenas uma sábia precaução criptográfica para dividir e separar as duas partes do ecossistema).
Mas tendo conseguido este primeiro dia semi-zero, nomeadamente adquirindo um segredo criptográfico da Microsoft sem serem notados, os criminosos aparentemente encontraram um segundo dia semi-zero por meio do qual poderiam passar um token de acesso assinado com uma chave de conta de consumidor que deveria ter sinalizado “esta chave não pertence aqui” como se fosse um token assinado pelo Azure AD.
Em outras palavras, embora os criminosos estivessem presos ao tipo errado de chave de assinatura para o ataque que haviam planejado, eles encontraram uma maneira de contornar as medidas de segurança de dividir e separar que deveriam impedir o funcionamento da chave roubada.
Mais notícias boas e ruins
A má notícia para a Microsoft é que esta não é a única vez que a empresa foi considerada deficiente em assinar chaves de segurança no ano passado.
A último Patch terça-feiraDe fato, a Microsoft ofereceu tardiamente proteção de lista de bloqueio contra um monte de drivers de kernel do Windows desonestos e infectados por malware que o próprio Redmond assinou sob a égide de seu Programa de Desenvolvedor de Hardware do Windows.
A boa notícia é que, como os criminosos usavam tokens de acesso de estilo corporativo assinados com uma chave criptográfica de estilo de consumidor, suas credenciais de autenticação desonestas poderiam ser caçadas com segurança quando a equipe de segurança da Microsoft soubesse o que procurar.
Em linguagem rica em jargões, a Microsoft observa que:
O uso de uma chave incorreta para assinar as solicitações permitiu que nossas equipes de investigação vissem todas as solicitações de acesso dos atores que seguiam esse padrão em nossos sistemas corporativos e de consumo.
O uso da chave incorreta para assinar esse escopo de asserções foi um indicador óbvio da atividade do ator, já que nenhum sistema da Microsoft assina tokens dessa forma.
Em linguagem mais simples, a desvantagem do fato de que ninguém na Microsoft sabia disso com antecedência (evitando assim que fosse corrigido proativamente) levou, ironicamente, ao lado positivo de que ninguém na Microsoft jamais tentou escrever código para funcionar dessa maneira .
E isso, por sua vez, significava que o comportamento desonesto neste ataque poderia ser usado como um IoC confiável e exclusivo, ou indicador de compromisso.
Presumimos que é por isso que a Microsoft agora se sente confiante em afirmar que rastreou todos os casos em que essas lacunas de dois dias semi-zero foram exploradas e, portanto, que sua lista de 25 clientes afetados é exaustiva.
O que fazer?
Se você não foi contatado pela Microsoft sobre isso, achamos que pode ter certeza de que não foi afetado.
E como as soluções de segurança foram aplicadas dentro do próprio serviço de nuvem da Microsoft (ou seja, rejeitar quaisquer chaves de assinatura MSA roubadas e fechar a brecha que permite o uso do “tipo errado de chave” para autenticação corporativa), você não precisa se esforçar para instale você mesmo quaisquer patches.
No entanto, se você é um programador, um profissional de garantia de qualidade, um red teamer/blue teamer ou de outra forma envolvido em TI, lembre-se dos três pontos que mencionamos no início deste artigo:
- A criptografia aplicada é difícil. Você não precisa apenas escolher os algoritmos certos e implementá-los com segurança. Você também precisa usá-los corretamente e gerenciar quaisquer chaves criptográficas das quais o sistema depende, com cuidado adequado a longo prazo.
- A segmentação de segurança é difícil. Mesmo quando você pensa que dividiu uma parte complexa do seu ecossistema em duas ou mais partes, como a Microsoft fez aqui, você precisa ter certeza de que a separação realmente funciona conforme o esperado. Sonde e teste você mesmo a segurança da separação, porque se você não testar, os bandidos certamente o farão.
- A caça a ameaças é difícil. A primeira e mais óbvia explicação nem sempre é a correta ou pode não ser a única. Não pare de caçar quando tiver sua primeira explicação plausível. Continue até que você não apenas tenha identificado as explorações reais usadas no ataque atual, mas também descoberto tantas outras causas potencialmente relacionadas quanto possível, para que possa corrigi-las proativamente.
Para citar uma frase bem conhecida (e o fato de ser verdade significa que não estamos preocupados com o fato de ser clichê): A cibersegurança é uma jornada, não um destino.
Falta de tempo ou experiência para cuidar da caça às ameaças à segurança cibernética? Preocupado com a possibilidade de a segurança cibernética acabar distraindo você de todas as outras coisas que você precisa fazer?
Saiba mais sobre Detecção e Resposta Gerenciada Sophos:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capaz
- Sobre
- sobre isso
- acima
- absoluto
- Acesso
- acessadas
- Conta
- Contas
- adquirido
- aquisição de
- em
- ativo
- Active Directory
- atividade
- atos
- real
- Ad
- adicionar
- avançar
- Depois de
- novamente
- contra
- agências
- companhia aérea
- aeroporto
- algoritmos
- Todos os Produtos
- permitidas
- Permitindo
- sozinho
- já
- tb
- sempre
- an
- e
- qualquer
- qualquer um
- qualquer lugar
- aparente
- aplicado
- aproximadamente
- SOMOS
- por aí
- artigo
- AS
- assumir
- suposição
- garantia
- At
- ataque
- Ataques
- autenticado
- Autenticação
- autor
- auto
- disponível
- evitou
- Azul
- em caminho duplo
- Back-end
- Porta dos fundos
- fundo
- background-image
- Mau
- BE
- Porque
- sido
- antes
- ser
- Melhor
- embarque
- corpos
- fronteira
- ambos
- Inferior
- navegador
- Navegando
- erros
- Monte
- mas a
- by
- CAN
- cartão
- Cuidado
- cuidadosamente
- casas
- causas
- Centralização de
- certamente
- verificar
- a verificação
- Cheques
- Escolha
- remover filtragem
- cliente
- encerramento
- Na nuvem
- código
- cor
- COM
- geralmente
- Empresa
- Empresa
- completar
- integrações
- Comprometido
- computador
- confiante
- Configuração
- da conexão
- considerado
- consumidor
- biscoito
- Responsabilidade
- poderia
- cobrir
- cobertura
- crio
- Criar
- Credenciais
- Os criminosos
- crítico
- Crooks
- criptografia
- criptografia
- Atual
- Clientes
- cibercrime
- Cíber segurança
- dados,
- dia
- dias
- acordo
- descrição
- projetado
- escrivaninha
- destino
- Detecção
- determinado
- Developer
- dispositivo
- DID
- diferente
- digital
- diretamente
- descoberto
- Ecrã
- do
- documento
- parece
- Não faz
- não
- down
- download
- desvantagem
- dramaticamente
- Drivers
- durante
- cada
- mais fácil
- fácil
- ecossistema
- Else's
- criptografada
- final
- end-to-end
- Inglês
- suficiente
- Entrar
- Empreendimento
- intitulado
- estabelecer
- Mesmo
- SEMPRE
- Cada
- todos
- exchange
- existir
- esperar
- experiência
- explicação
- Explorar
- exploradas
- façanhas
- exposto
- fato
- falsificação
- figurado
- final
- Primeiro nome
- Fixar
- fixado
- vôo
- seguido
- Escolha
- encontrado
- fraudulento
- da
- gerar
- ter
- dado
- Go
- vai
- Bom estado, com sinais de uso
- Governo
- cortar
- tinha
- acontece
- Queijos duros
- Hardware
- Ter
- ter
- cabeçalhos
- manchete
- ouviu
- altura
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Acertar
- Buracos
- pairar
- Como funciona o dobrador de carta de canal
- Como Negociar
- http
- HTTPS
- Centenas
- Caça
- identificado
- Identidade
- if
- executar
- implícita
- in
- Incluindo
- Indicador
- indivíduos
- do estado inicial,
- dentro
- instalar
- instância
- em vez disso
- Pretendido
- interação
- interações
- interconectado
- Internet
- para dentro
- investigação
- envolvido
- Ironicamente
- Emitido
- questões
- IT
- ESTÁ
- se
- viagem
- jpg
- apenas por
- Guarda
- Chave
- chaves
- Saber
- conhecido
- língua
- grande
- Sobrenome
- camada
- mínimo
- Deixar
- partida
- levou
- esquerda
- Permite
- como
- Provável
- Lista
- logging
- entrar
- longo prazo
- olhar
- procurando
- buraco
- moldadas
- Maioria
- fazer
- FAZ
- malwares
- gerencia
- gerenciados
- muitos
- Margem
- max-width
- Posso..
- significado
- significa
- significava
- medidas
- apenas
- Microsoft
- poder
- minting
- mais
- a maioria
- devo
- nome
- nomeadamente
- Natureza
- você merece...
- necessitando
- Cria
- rede
- tráfego de rede
- redes
- redes e serviços
- mesmo assim
- notícias
- não
- normal
- Notas
- agora
- número
- óbvio
- of
- WOW!
- oferecendo treinamento para distância
- frequentemente
- on
- uma vez
- ONE
- queridos
- online
- só
- Operações
- or
- Organizações
- organizações
- originalmente
- Outros
- de outra forma
- A Nossa
- Fora
- Outlook
- Acima de
- próprio
- página
- parte
- peças
- passar
- passou
- passaporte
- Senha
- passado
- Remendo
- Patches
- padrão
- Paul
- Pessoas
- pessoal
- Lugar
- planejado
- platão
- Inteligência de Dados Platão
- PlatãoData
- plausível
- por favor
- pontos
- posição
- POSTAGENS
- potencialmente
- prática
- preparado
- presente
- impedindo
- anteriormente
- privado
- chave privada
- sonda
- Problema
- problemas
- processo
- produzir
- Agenda
- Programador
- proteção
- provou
- público
- nuvem pública
- publicado
- Empurrando
- colocar
- qualidade
- citar
- em vez
- Chega
- Leitor
- clientes
- receber
- Vermelho
- a que se refere
- regularmente
- relacionado
- relativo
- confiável
- Denunciar
- respeitável
- pedidos
- requerer
- requeridos
- exige
- respeito
- Revelado
- reverso
- certo
- apressar
- s
- mesmo
- serra
- escopo
- Épocas
- Segundo
- Segredo
- seguro
- firmemente
- segurança
- Medidas de Segurança
- Vejo
- parecem
- parecia
- segmentação
- enviar
- envia
- enviei
- separado
- serviço
- Serviços
- Sessão
- Partilhar
- Baixo
- assistência técnica de curto e longo prazo
- rede de apoio social
- mostrou
- mostrando
- lado
- assinar
- assinado
- assinatura
- Sinais
- solteiro
- local
- smart
- bisbilhoteiro
- So
- Software
- sólido
- alguns
- Alguém
- Em breve
- falando
- específico
- divisão
- autônoma
- padrão
- começo
- Estado
- roubado
- Dê um basta
- Storm
- discordaram
- tal
- sugerir
- Sugere
- adequado
- suposto
- certo
- SVG
- .
- sistemas
- Tire
- conto
- Profissionais
- equipes
- técnicas
- dizer
- temporário
- dezenas
- teste
- do que
- que
- A
- deles
- Eles
- si mesmos
- então
- teoria
- Lá.
- assim sendo
- Este
- deles
- coisas
- think
- isto
- aqueles
- Apesar?
- milhares
- ameaça
- três
- tempo
- TLS
- para
- token
- Tokens
- topo
- Total
- pista
- tráfego
- transição
- transparente
- viagens
- experimentado
- desencadeado
- verdadeiro
- tentar
- VIRAR
- dois
- tipicamente
- Em última análise
- para
- subjacente
- único
- destravar
- até
- Atualizar
- Atualizações
- sobre
- upside
- URL
- us
- governo dos Estados Unidos
- usar
- usava
- Utilizador
- usuários
- usos
- utilização
- Grande
- via
- Vítima
- vítimas
- vital
- vulnerabilidades
- querendo
- foi
- Caminho..
- we
- web
- semana
- BEM
- bem conhecido
- foram
- O Quê
- quando
- qual
- QUEM
- porque
- Selvagem
- precisarão
- Windows
- SENSATO
- de
- sem
- Word
- palavras
- Atividades:
- trabalhar
- preocupado
- seria
- escrever
- escrever código
- Errado
- ano
- ainda
- Você
- investimentos
- você mesmo
- zefirnet