Microsoft revela alvo real de ataque cibernético da SolarWinds
A investigação da Microsoft sobre o ataque cibernético da SolarWinds continua, com mais informações chegando à luz sobre as intenções dos atacantes.
O ataque, conhecido como Solorigate pela Microsoft (e Sunburst pela firma de segurança cibernética FireEye), reivindicou vários alvos de alto perfil, particularmente departamentos do governo dos Estados Unidos.
Microsoft revela meta final suspeita da SolarWinds
Como se reivindicar escalpos como o Tesouro dos EUA e os Departamentos de Segurança Interna, Estado, Defesa, Energia e Comércio não fosse suficiente, um recente blog de Segurança da Microsoft indica que o verdadeiro alvo do ataque eram ativos de armazenamento em nuvem.
Os invasores obtiveram acesso às redes alvo usando uma atualização maliciosa do SolarWinds Orion. Tendo previamente comprometido SolarWinds e inserido arquivos maliciosos em uma atualização de software, os invasores receberam acesso completo à rede quando a atualização foi instalada.
Uma vez dentro, os invasores têm "pouco risco de detecção porque o aplicativo e os binários assinados são comuns e considerados confiáveis".
Como o risco de detecção era tão baixo, os invasores podiam escolher seus alvos. Com o backdoor instalado, os invasores podem demorar para descobrir o valor de continuar a explorar a rede, deixando as redes de "baixo valor" como uma opção de fallback.
A Microsoft acredita que o motivo final dos invasores foi usar "o acesso backdoor para roubar credenciais, escalar privilégios e mover lateralmente para obter a capacidade de criar tokens SAML válidos".
Os tokens SAML (Security Assertion Markup Language) são um tipo de chave de segurança. Se os invasores pudessem roubar a chave de assinatura SAML (como uma chave mestra), eles poderiam criar e validar tokens de segurança que criaram e usar essas chaves autovalidadas para acessar serviços de armazenamento em nuvem e servidores de e-mail.
Com a capacidade de criar tokens SAML ilícitos, os invasores podem acessar dados confidenciais sem ter que se originar de um dispositivo comprometido ou ficar confinado à persistência local. Ao abusar do acesso à API por meio de aplicativos OAuth existentes ou entidades de serviço, eles podem tentar se misturar ao padrão normal de atividade, principalmente aplicativos ou entidades de serviço.
NSA concorda com abuso de autenticação
No início de dezembro de 2020, a National Security Agency lançou um comunicado oficial de segurança cibernética [PDF] intitulado "Detecting Abuse of Authentication Mechanisms". O comunicado corrobora com a análise da Microsoft de que os invasores queriam roubar tokens SAML para criar uma nova chave de assinatura.
Os atores aproveitam o acesso privilegiado no ambiente local para subverter os mecanismos que a organização usa para conceder acesso à nuvem e recursos locais e / ou comprometer as credenciais do administrador com a capacidade de gerenciar recursos da nuvem.
Tanto o blog de segurança da Microsoft quanto o NSA Cybersecurity Advisory contêm informações sobre como fortalecer a segurança da rede para proteção contra ataques, bem como sobre como os administradores de rede podem detectar quaisquer sinais de infiltração.
