Ataque ao SolarWinds pode esconder novos vetores de intrusão

Detectar esse tipo de atividade exige maturidade de segurança da organização para identificar comportamentos que estão fora das funções normais de um usuário

A Varonis, pioneira em análise e segurança de dados, identificou um pico nas investigações forenses relacionadas às invasões do software SolarWinds Orion. Embora haja evidências de comprometimento nas versões 2019.4 HF 5 até 2020.2.1 do sistema, é possível que o código malicioso tenha começando bem antes, com os tokens SAML (Security Assertion Markup Language), um padrão aberto que permite que provedores de identidade passem credenciais de autorização para provedores de serviço.

No caso da invasão ao Orion, os atacantes introduziram um backdoor pré-criado em um produto de software confiável (SolarWinds Orion) que foi entregue automaticamente a milhares de clientes, disfarçado como uma atualização normal. No entanto, nem todas as organizações que utilizam o sistema foram alvos dos ataques.

O mais provável é que o grupo por trás das ameaças tenha se valido de credenciais expostas em 2018 pelo GitHub para obter acesso à infraestrutura de atualização de software da empresa. A partir da liberação, foi possível adicionar um backdoor malicioso a um dos DLLs (Dynamic-link Library), que nada mais é do que extensões criadas pela Microsoft para o conceito de bibliotecas compartilhadas nos sistemas operacionais Microsoft Windows e OS/2.

De acordo com Carlos Rodrigues, vice-presidente da Varonis, a assinatura do DLL pode ter ocorrido de duas formas: por meio de uma base no processo de desenvolvimento, na qual o atacante adicionou o backdoor e deixou que a SolarWinds assinasse como parte do processo de implantação; ou ainda roubando a chave privada do certificado e substituindo o DLL oficial por uma versão maliciosa.

"Seja qual for o processo, é importante prestar atenção extra aos alertas e atividades de contas de serviços e diretórios em ambientes híbridos (AAD), especialmente conexões incomuns, alterações de domínio ou atividades do sistema de arquivos, principalmente aquelas relacionadas a dados ou sistemas confidenciais", alerta o executivo.

Ameaças avançadas

A Varonis também detectou outras atividades consistentes com as técnicas, táticas e procedimentos (TTPs) utilizados no caso Orion, incluindo falhas na autenticação do Outlook e outros sistemas do Windows. Isso pode indicar que existem vetores iniciais ainda não conhecidos.

No caso dos tokens SAML, é importante analisar as condições em que são realizados os logins. Normalmente, os tokens têm validade de uma hora. Longas durações, como 24 horas, podem indicar uma violação. Além disso, um token que não tem um login associado a sua conta de usuário após ser gerado também merece uma investigação.

"Detectar esse tipo de atividade exige maturidade de segurança da organização para identificar comportamentos que estão fora das funções normais de um usuário, como, por exemplo, uma solicitação do departamento de RH pedindo para acessar o banco de dados de inteligência de ameaças cibernéticas", avalia Rodrigues.

"Os antivírus normais não protegem contra esse tipo de vulnerabilidade. Além de falsos positivos ou negativos, como as invasões são realizadas pelas laterais, ou seja, se aproveitando de falhas no privilégio de acesso, essas ferramentas não conseguem impedir que o ataque seja perpetrado. É imprescindível a adoção de uma solução de prevenção, que seja capaz de analisar atividades de dados e comportamento do usuário, bloqueando downloads de dados sensíveis e reduzindo as chances de vulnerabilidade, além de proteger os ambientes corporativos em todas as pontas, seja na nuvem ou em servidores físicos", finaliza.

Foto: Divulgação


Veja também

Conteúdos que gostaríamos de sugerir para a sua leitura.

Envie os nossos conteúdos por e-mail. Utilize o formulário abaixo e compartilhe os link deste conteúdo com outros profissionais. Aproveite e escreve uma mensagem bacana.

Faça uma busca

Mais lidas da semana

Operações

Carregamento de veículos elétricos em condomínios divide opiniões

Como equilibrar os custos e as preocupações dos condôminos de forma justa e transparente. Leia artigo exclusivo.

Carreira

Fábio Pace Adamo assume Real Estate Management da Volvo

Com mais de 20 anos de experiência, profissional assume gestão em nível nacional.

Mercado

Soluções de economia de água com o fim do desconto da Sabesp

Tecnologias e estratégias inovadoras tornam sustentável o consumo de água.

Workplace

Pinterest transforma escritório em oportunidade de novos negócios

Daiane Silva, Workplace Manager da multinacional, fala sobre gestão focada em clientes externos e cultura flexível.

Sugestões da Redação

Revista InfraFM

Diversidade de ideias no 10º Fórum InfraFM Hospitais & Ambientes de Saúde

Evento abordou sustentabilidade, cases de sucesso, otimização de gestão e outros temas em voga no setor.

Revista InfraFM

Guardiões do movimento

Assegurando o bem-estar dos colaboradores ao longo dos 14 mil quilômetros de ferrovias, que cortam nove estados brasileiros.

Revista InfraFM

Oportunidades e inovações no World Workplace 2024 da IFMA

Transformando o setor de FM com foco em tecnologia e sustentabilidade

Operações

Monitoramento em tempo real otimiza produção em 18% na Visteon Amazonas

Ricardo Tanko Vasconcellos, Quality Manager da multinacional, fala sobre importância da sinergia entre áreas para um processo contínuo de melhorias.

Operações

Retrofit gera mais de R$3 milhões de economia para operação de shopping

Gerente de operações do Shopping Praça da Moça e coordenador de Operações do Grupo AD falam sobre desafios e resultados das implementações.

 
Dúvidas sobre os EVENTOS?
Fale com a nossa equipe pelo WhatsAPP