Ataque ao SolarWinds pode esconder novos vetores de intrusão
De acordo com a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) existem evidências de acessos anteriores que não impactaram as instâncias do SolarWinds
A Varonis, pioneira em análise e segurança de dados, identificou um pico nas investigações forenses relacionadas às invasões do software SolarWinds Orion. Embora haja evidências de comprometimento nas versões 2019.4 HF 5 até 2020.2.1 do sistema, é possível que o código malicioso tenha começando bem antes, com os tokens SAML (Security Assertion Markup Language), um padrão aberto que permite que provedores de identidade passem credenciais de autorização para provedores de serviço.
No caso da invasão ao Orion, os atacantes introduziram um backdoor pré-criado em um produto de software confiável (SolarWinds Orion) que foi entregue automaticamente a milhares de clientes, disfarçado como uma atualização normal. No entanto, nem todas as organizações que utilizam o sistema foram alvos dos ataques.
O mais provável é que o grupo por trás das ameaças tenha se valido de credenciais expostas em 2018 pelo GitHub para obter acesso à infraestrutura de atualização de software da empresa. A partir da liberação, foi possível adicionar um backdoor malicioso a um dos DLLs (Dynamic-link library), que nada mais é do que extensões criadas pela Microsoft para o conceito de bibliotecas compartilhadas nos sistemas operacionais Microsoft Windows e OS/2.
De acordo com Carlos Rodrigues, vice-presidente da Varonis, a assinatura do DLL pode ter ocorrido de duas formas: por meio de uma base no processo de desenvolvimento, na qual o atacante adicionou o backdoor e deixou que a SolarWinds assinasse como parte do processo de implantação; ou ainda roubando a chave privada do certificado e substituindo o DLL oficial por uma versão maliciosa.
"Seja qual for o processo, é importante prestar atenção extra aos alertas e atividades de contas de serviços e diretórios em ambientes híbridos (AAD), especialmente conexões incomuns, alterações de domínio ou atividades do sistema de arquivos, principalmente aquelas relacionadas a dados ou sistemas confidenciais", alerta o executivo.
Ameaças Avançadas
A Varonis também detectou outras atividades consistentes com as técnicas, táticas e procedimentos (TTPs) utilizados no caso Orion, incluindo falhas na autenticação do Outlook e outros sistemas do Windows. Isso pode indicar que existem vetores iniciais ainda não conhecidos.
No caso dos tokens SAML, é importante analisar as condições em que são realizados os logins. Normalmente, os tokens têm validade de uma hora. Longas durações, como 24 horas, podem indicar uma violação. Além disso, um token que não tem um login associado a sua conta de usuário após ser gerado também merece uma investigação.
"Detectar esse tipo de atividade exige maturidade de segurança da organização para identificar comportamentos que estão fora das funções normais de um usuário, como, por exemplo, uma solicitação do departamento de RH pedindo para acessar o banco de dados de inteligência de ameaças cibernéticas", avalia Rodrigues.
"Os antivírus normais não protegem contra esse tipo de vulnerabilidade. Além de falsos positivos ou negativos, como as invasões são realizadas pelas laterais, ou seja, se aproveitando de falhas no privilégio de acesso, essas ferramentas não conseguem impedir que o ataque seja perpetrado. É imprescindível a adoção de uma solução de prevenção, que seja capaz de analisar atividades de dados e comportamento do usuário, bloqueando downloads de dados sensíveis e reduzindo as chances de vulnerabilidade, além de proteger os ambientes corporativos em todas as pontas, seja na nuvem ou em servidores físicos", finaliza.
Para saber mais sobre as soluções de segurança da Varonis, voltadas para detecção e proteção contra ameaças cibernéticas, acesse www.varonis.com
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>