Má higiene de identidade é a raiz do ataque com patrocínio governamental contra a Microsoft

A última invasão sofrida pela Microsoft evidencia mais uma vez que apenas detecção e resposta não são suficientes. Como a fonte de um ataque quase sempre um único usuário com permissões exageradas, é essencial que as empresas invistam em forte segurança preventiva.

Em 19 de janeiro, a Microsoft anunciou um ataque pelo Entra ID (antigo Azure AD) por um agente com patrocínio governamental, chamado Midnight Blizzard. A Microsoft compartilhou informações sobre o ataque, incluindo táticas, técnicas e procedimentos (TTPs, na sigla em inglês) e sua orientação para resposta. É comum que empresas não divulguem muitas informações sobre determinados detalhes de um ataque para manter a confidencialidade de seu ambiente interno e minimizar o dano à reputação. Contudo, a Microsoft forneceu alguns detalhes para ajudar a entender o que o Midnight Blizzard explorou para invadir o ambiente corporativo da Microsoft.

O que se destaca nesta violação é a necessidade de iniciativas melhores de segurança preventiva para reduzir o risco criado por má higiene de identidade. Identidades negligenciadas, permissões excessivas e configurações mal ajustadas podem ter graves consequências, mesmo com ferramentas e recursos de detecção e resposta sofisticados. O Tenable Identity Exposure identifica as vulnerabilidades que ataques como esses podem explorar, incluindo:

• Ausência de MFA (autenticação multifator);
• Permissões perigosas de API;
• Análises de conta de administrador.

Vamos analisar brevemente o que aconteceu.

Embora o anúncio da Microsoft mencione diferente etapas no ataque, o ataque explorou alguns pontos fracos muito comuns, como má higiene de senhas, falta de MFA, excesso de permissões e funções privilegiadas no Entra.

A fase de acesso inicial deste ataque foi uma simples pulverização de senha, uma técnica de ataque na qual o agente tem como alvo identidades com senhas fracas ou comprometidas. Esse ataque inicial tinha como alvo um ambiente que não era de produção, e o Midnight Blizzard tomou medidas de precaução para não ser detectado nesta fase. Conforme explicação da Microsoft: “O agente personalizou seus ataques de pulverização de senha para um número limitado de contas, usando poucas tentativas para não ser detectado (...), realizando esses ataques em uma conta de infraestrutura de proxy residencial distribuída (...) na qual a autenticação multifator não estava habilitada”.

Se essa conta tivesse MFA habilitado, apesar de não ser de um ambiente de produção, teria evitado que o ataque de pulverização de senha fosse bem-sucedido. No mínimo, teria dificultado o processo e tornaria o ataque muito mais fácil de ser detectado.

Em seguida, os invasores pivotaram do ambiente de teste para o ambiente de produção corporativo por meio da exploração de permissões excessivas de API do Graph. Apesar de a aplicação estar registrada no locatário de teste da Microsoft, sua identidade correspondente tinha permissões perigosas da API do Graph em seu locatário de produção corporativo. 

Os invasores obtiveram acesso a caixas de mensagens de altos executivos da Microsoft por um período de dois meses. 

Com isso, o agente de ameaças conseguiu comprometer o registro de aplicações e mover-se para o locatário de produção, por meio da identidade de serviço correspondente. Depois de obter acesso ao ambiente corporativo da Microsoft, ele concedeu permissão à API “full_access_as_app” do Office 365 Exchange Online para aplicações maliciosas criadas pelo agente, para que pudesse obter acesso a caixas de mensagens de altos executivos por um período de dois meses.

As permissões de API normalmente concedem acesso com ramificações que são complexas de decifrar, e a API Microsoft Graph é conhecida por ser muito difícil de entender. Aparentemente, a Microsoft foi vítima de sua própria complexidade. Esta falta de higiene de identidade é algo de que o agente de ameaças tirou vantagem para se infiltrar no ambiente de produção da Microsoft e obter acesso para comunicações corporativas sigilosas.

É essencial avaliar e compreender continuamente o risco de identidade para realizar correções inteligentes e reduzir a superfície de ataque antes de um ataque ocorrer. Apesar de a Microsoft oferecer inúmeras ferramentas e serviços para detecção e interrupção de ataques, violações sofisticas geralmente têm sua origem em pequenos descuidos em uma única conta ou permissão. O desafio de reduzir preventivamente a superfície de ataque de identidades concentra-se na natureza em constante mudança e requer validação contínua do risco.

O Tenable Identity Exposure valida continuamente a postura de segurança de sistemas de identidade da Microsoft e prioriza identidades, permissões e configurações arriscadas para reduzir imediatamente a superfície de ataque.

A Tenable oferece quatro indicadores de exposição (IoEs) específicos para ajudar a evitar esses tipos de ataque. Os dois IoEs do Identity Exposure permitem que os clientes identifiquem contas expostas devido à falta de MFA. Esses IoEs revelam contas do Entra ID da Microsoft sem nenhum método de MFA registrado, que são geralmente explorados:

• Conta privilegiada sem proteção por MFA;
• Conta não privilegiada sem proteção por MFA.

O Identity Exposure também tem dois IoEs que descobrem e analisam as funções perigosas do Entra da Microsoft e as permissões da API do Microsoft Graph para que esses vetores de ataque possam ser eliminados antes de um ataque ocorrer:

• Permissões perigosas de API que afetam o locatário;
• Grande número de administradores.

Com eles habilitados, o Identity Exposure valida continuamente diversos aspectos críticos e muitas vezes negligenciados dos sistemas de identidade da Microsoft. A Tenable também revela as identidades com maior risco e fornece uma orientação detalhada para correção. A tática usada pelo Midnight Blizzard é um excelente exemplo dos tipos de riscos de identidade e vias de ataque que o Tenable Identity Exposure pode ajudar a eliminar para evitar que um ataque seja bem-sucedido.

Para obter mais informações sobre como o Tenable Identity Exposure ajuda a reduzir a superfície de ataque do seu ambiente de identidades da Microsoft, solicite uma demonstração ou baixe a ficha de dados do Identity Exposure.