Ataques como os que ocorreram a pouco tempo, já aconteceram antes e acontecerão novamente. A tarefa dos defensores não diretamente afetados pelas invasões da Uber e da Rockstar, escreve Chester Wisniewski, é aprender colocando sua própria equipe no lugar dessas empresas.
Os profissionais de segurança costumam falar que a segurança é um processo e um sistema, não um destino, e as notícias recentes da Uber e da Rockstar Games são apenas mais um exemplo. Os detalhes ainda estão surgindo, mas ainda podemos analisar essas violações em alto nível e aplicar essas lições aos nossos próprios programas de segurança da informação.
Semelhante ao ataque Lapsus$ contra a Electronic Arts em julho de 2021, parece que os invasores compraram suas credenciais roubadas de Initial Access Brokers (IABs). Os IABs geralmente coletam credenciais em massa por meio de ataques de phishing por e-mail e infectando dispositivos com cavalos de Troia que roubam informações usando vários métodos. Eles usam o malware para coletar todas as senhas armazenadas, cookies de sessão e até carteiras de criptomoedas que podem encontrar no PC da vítima e colocar o lote à venda na dark web.
Em comunicado, a Uber afirmou que o ataque começou quando as credenciais de um contratante para a rede interna da Uber foram compradas pela Lapsus$ de um IAB. Os invasores então tentaram usar as credenciais repetidamente, acionando várias notificações push multifatores do Duo Security para o telefone do contratado até que o contratado finalmente sucumbiu ao dilúvio e aceitou um deles – concedendo aos invasores uma posição segura.
A Uber simplesmente diz que os invasores elevaram seus privilégios, mas em uma conversa no Telegram, os invasores alegaram ter encontrado um script do PowerShell contendo uma senha administrativa para a ferramenta de gerenciamento de acesso privilegiado (PAM) da Uber. Esse tesouro de senhas deu a eles acesso “uber” à rede corporativa da Uber.
Esse nível de acesso permitiu que os invasores passassem pela rede capturando capturas de tela de ferramentas internas, painéis de serviço em nuvem, painéis de segurança e até mesmo obtendo acesso ao sistema de gerenciamento do programa de recompensas por bugs de segurança.
Que tipo de coisas se poderia fazer para tentar impedir que ataques semelhantes ocorressem contra seus próprios sistemas? Vejamos alguns dos detalhes que permitiram o sucesso desse ataque, para ver se o resto de nós não conseguimos aprender algumas lições para melhorar nossas próprias posturas de segurança.
O Multifator pode não ser suficiente
À medida que as organizações continuam adotando a autenticação multifatorial, os invasores aprendem melhor como ignorá-la. A Uber implantou o Duo, um serviço de notificação por push da Cisco, para proteger seu serviço de acesso remoto VPN, o que é ótimo. O problema é que os criminosos aprenderam que, se enviarem spam repetidamente a um alvo com alertas, na maioria das vezes o alvo pode simplesmente ceder e pressionar Aceitar.
O que pode ser feito? Bem, em um mundo perfeito, todos estaríamos usando a autenticação FIDO2, que requer um token de hardware ou smartphone que deve estar fisicamente próximo ao dispositivo de autenticação.
No entanto, nem todo mundo está pronto para adotar essa tecnologia, então serviços multifatoriais como o Duo também oferecem uma abordagem híbrida para push, onde o aplicativo que solicita a autenticação fornece a VOCÊ o código de 6 dígitos e, em vez de tocar em Aceitar no seu dispositivo, você deve inserir o código secreto. Isso exigiria que o criminoso interagisse com a vítima e a convencesse a inserir o código em seu nome. Não é impossível, mas uma barreira muito maior do que simplesmente pressionar o botão verde grande e brilhante.
Escalonamento de privilégios: Retardando sua rolagem
Com tempo suficiente, quase sempre há uma maneira de um usuário autorizado obter privilégios em uma conta à qual não deveria ter acesso. A chave para se defender contra esse tipo de ataque é fazer com que leve tempo suficiente para que você possa detectar suas pegadas e expulsá-los antes que eles tenham sucesso.
O invasor alega ter encontrado a senha do administrador da solução de gerenciamento de acesso privilegiado da Uber em um arquivo do PowerShell em um compartilhamento de arquivos acessíveis ao usuário. Isso ainda não é o ideal, mas levanta a questão: como isso deveria ter sido suficiente para causar tanto estrago?
Sem ainda conhecer as especificidades do sistema afetado da Uber, a maioria de nós perguntaria por que a autenticação multifator não estava em vigor. Invertendo a pergunta, você precisa de autenticação multifator para fazer logon em sistemas internos? Para funções tão críticas como gerenciamento de privilégios, código-fonte, RH ou finanças, você deve ter o mesmo cuidado que tem ao autenticar usuários para acesso à própria rede – e nunca deve presumir que alguém na rede está autorizado a acessar para sistemas sensíveis apenas porque eles se autenticaram na rede em geral.
Assim como realizar um teste de penetração externo semestralmente, também é uma boa prática fazer uma auditoria do seu ambiente interno apenas para esse tipo de coisa. Pode ter sido uma solução temporária ou uma prática herdada que foi esquecida, mas essas coisas surgem em quase qualquer rede razoavelmente complexa.
Uma vez não é suficiente e não há “dentro”
A ideia por trás do acesso à rede de confiança zero (ZTNA) é que você só deve ter acesso exatamente ao que precisa, quando precisar, e eu nunca devo confiar que você é quem diz ser. Autentique as permissões de cada usuário no momento do acesso para ter certeza de que tudo está em ordem, assim como faria para um aplicativo externo.
Na verdade, um dos benefícios dessa abordagem é que você pode, de fato, eliminar o perímetro completamente – ou pelo menos você pode parar de depender de soluções do tipo VPN, reduzindo as camadas de proteção de escova ampla para ativos que vivem atrás do firewall e WAF. Seus ativos serão, sim, menos envoltos em camadas de “proteção”, mas verificar com firmeza e cuidado se cada solicitação de acesso é autenticada e autorizada é, de fato, melhor administração de ativos – e é mais fácil identificar problemas quando eles surgirem.
Sua rede não deve se parecer com uma barra de chocolate com uma casca externa dura e um centro macio e pegajoso. Como mencionei a Paul Ducklin em nosso breve podcast quando as notícias do Uber foram ao ar pela primeira vez publicamente, as redes mais bem gerenciadas têm uma suposição de violação. Nada perigoso deve estar por perto que, quando nas mãos de alguém com intenção maliciosa, possa prejudicá-lo.
Conclusão
Acho uma boa prática, sempre que há manchetes de notícias de segurança, tentar tirar algumas lições e imaginar como minha própria equipe se sairia ao enfrentar um adversário semelhante. A defesa de rede bem-sucedida é difícil, mas usando essas lições para aprimorar suas ferramentas, fica um pouco mais fácil a cada vez.
O propósito de nossas camadas de defesa não deve ser com a expectativa de que uma dessas camadas vá parar magicamente um determinado atacante; em vez disso, cada um deve ser visto como mais uma oportunidade de ganhar tempo.
Esse tempo permite que a equipe que está monitorando seus sistemas tome nota da anomalia e comece a investigar. O objetivo é fazer com que essas camadas ganhem tempo suficiente para que você possa encontrar o ponto de entrada, fechá-lo e expulsar os invasores antes que eles atinjam seus objetivos.
Quando o objetivo do invasor é plantar malware, roubar propriedade intelectual específica ou até mesmo desencadear um ataque de ransomware/extorsão, geralmente leva alguns dias e isso deve ser suficiente para impedi-los.
Infelizmente, como no caso de Uber, Rockstar e outras vítimas do Lapsus$, o atacante está atrás de tudo e de tudo, simplesmente para fazer manchetes e causar constrangimento às vítimas. Isso leva assustadoramente pouco tempo em nome do invasor e exige que a rede e o monitoramento estejam em perfeitas condições para evitar. A segurança é um campo em evolução e o melhor que podemos esperar é trabalhar juntos, aprender com nossos erros e continuar elevando o nível dos criminosos.
Fonte: https://news.sophos.com/en-us/2022/09/22/uber-rockstar-fall-to-social-engineering-attacks-and-you/