Em Janeiro de 2024, a Microsoft descobriu que havia sido vítima de um hack orquestrado pelos hackers estatais russos Midnight Blizzard (às vezes conhecido como Nobelium). O detalhe preocupante sobre este caso é como foi fácil violar a gigante do software. Não foi um hack altamente técnico que explorou uma vulnerabilidade de dia zero – os hackers usaram um simples ataque de password spray para assumir o controle de uma conta antiga e inativa. Isso serve como um forte lembrete da importância da segurança das senhas e por que as organizações precisam proteger todas as contas de usuário.
Password spraying: um ataque simples, mas eficaz
Os hackers conseguiram entrar usando um ataque de password spraying em novembro de 2023. Passoword spraying é uma técnica de força bruta relativamente simples que envolve tentar a mesma senha em várias contas. Ao bombardear contas de usuários com senhas conhecidas como fracas e comprometidas, os invasores conseguiram obter acesso a uma conta de teste de legado que não é de produção no sistema da Microsoft, o que lhes proporcionou uma posição inicial no ambiente. Esta conta tinha privilégios incomuns ou os hackers os escalaram.
O ataque durou até sete semanas, durante as quais os hackers exfiltraram e-mails e documentos anexados. Esses dados comprometeram uma “percentagem muito pequena” de contas de e-mail corporativas, incluindo aquelas pertencentes a líderes seniores e funcionários das equipes de Segurança Cibernética e Jurídica. A equipe de segurança da Microsoft detectou o hack em 12 de janeiro e tomou medidas imediatas para interromper as atividades dos hackers e negar-lhes acesso adicional.
No entanto, o facto de os hackers terem conseguido aceder a tais informações internas sensíveis destaca os danos potenciais que podem ser causados pelo comprometimento mesmo de contas aparentemente insignificantes. Tudo o que os invasores precisam é de uma posição inicial em sua organização.
A importância de proteger todas as contas
Embora as organizações muitas vezes priorizem a proteção de contas privilegiadas, o ataque à Microsoft demonstra que cada conta de usuário é um ponto de entrada potencial para invasores. O escalonamento de privilégios significa que os invasores podem atingir seus objetivos sem necessariamente precisar de uma conta de administrador altamente privilegiada como ponto de entrada.
Proteger uma conta inativa com poucos privilégios é tão crucial quanto proteger uma conta de administrador com altos privilégios por vários motivos. Primeiro, os invasores geralmente têm como alvo essas contas negligenciadas como possíveis pontos de entrada em uma rede. As contas inativas têm maior probabilidade de ter senhas fracas ou desatualizadas, tornando-as alvos mais fáceis para ataques de força bruta. Uma vez comprometidas, os invasores podem usar essas contas para se movimentar lateralmente na rede, aumentando seus privilégios e acessando informações confidenciais.
Em segundo lugar, as contas inativas são frequentemente negligenciadas em termos de medidas de segurança, tornando-as alvos atraentes para hackers. As organizações podem ignorar a implementação de políticas de senhas fortes ou autenticação multifatorial para essas contas, deixando-as vulneráveis à exploração. Do ponto de vista de um invasor, mesmo contas com poucos privilégios podem fornecer acesso valioso a determinados sistemas ou dados dentro de uma organização.
Defenda-se contra ataques de password spraying
O hack da Microsoft serve como um alerta para que as organizações priorizem a segurança de cada conta de usuário. Ele destaca a necessidade crítica de medidas robustas de proteção por senha em todas as contas, independentemente da sua importância percebida. Ao implementar políticas de senhas fortes, permitir a autenticação multifatorial, realizar auditorias regulares do Active Directory e verificar continuamente senhas comprometidas, as organizações podem reduzir significativamente o risco de serem apanhadas da mesma forma.
- Auditoria do Active Directory: a realização de auditorias regulares do Active Directory pode fornecer visibilidade de contas não utilizadas e inativas, bem como de outras vulnerabilidades relacionadas a senhas.
- Políticas de senhas robustas: as organizações devem aplicar políticas de senhas fortes que bloqueiem senhas fracas, como termos comuns ou comandos de teclado como ‘qwerty’ ou ‘123456’. A implementação de senhas ou frases secretas longas e exclusivas é uma forte defesa contra ataques de força bruta. Também devem ser incluídos dicionários personalizados que bloqueiem termos relacionados à organização e ao setor.
- Autenticação multifator (MFA): A ativação da MFA adiciona um obstáculo de autenticação a ser superado pelos hackers. O MFA serve como uma importante camada de defesa, embora valha a pena lembrar que o MFA não é infalível. Ele precisa ser combinado com uma senha de segurança forte.
- Verificações de senhas comprometidas: até mesmo senhas fortes podem ser comprometidas se os usuários finais as reutilizarem em dispositivos pessoais, sites ou aplicativos com segurança fraca. A implementação de ferramentas para verificar continuamente o Active Directory em busca de senhas comprometidas pode ajudar a identificar e mitigar riscos potenciais.