În calitate de director al securității identității Microsoft, Alex Weinert, notează într-un blog, cei trei vectori principali de atac erau conturi de utilizator compromise, conturi de furnizori compromise și software-uri de furnizori compromise. El îi îndeamnă pe clienți să facă anumite servicii de curățenie în interiorul securității: implementarea autentificării cu mai mulți factori și strângerea permisiunilor pentru conturile de utilizator și de furnizor. Varietatea tehnicilor utilizate de hackerii SolarWinds a fost sofisticată, dar în multe privințe, obișnuită și prevenită, potrivit Microsoft. Pentru a preveni atacurile viitoare ale unor niveluri similare de sofisticare, Microsoft recomandă organizațiilor să adopte o „mentalitate de încredere zero”, care neagă presupunerea că tot ce se află în interiorul unei rețele IT este sigur. Adică, organizațiile ar trebui să își asume încălcarea și să verifice în mod explicit securitatea conturilor de utilizator, a dispozitivelor finale, a rețelei și a altor resurse.

Mii de companii au fost afectate de încălcarea SolarWinds, dezvăluită la mijlocul lunii decembrie. Hackerii, cunoscuți sub numele de UNC2452 / Dark Halo, au vizat mediul de construcție pentru software-ul Orion al SolarWinds, modificând procesul atunci când un program este compilat de la codul sursă la un executabil binar implementat de clienți. Furnizorul american de securitate Malwarebytes a dezvăluit că a fost afectat de aceiași hackeri, dar nu prin actualizările Orion contaminate. Hackerii au încălcat în schimb Malwarebytes prin exploatarea aplicațiilor cu acces privilegiat la infrastructura Office 365 și Azure , oferind atacatorilor „acces la un subset limitat” de e-mailuri interne ale Malwarebytes. Potrivit lui Weinert, atacatorii au exploatat lacune în „verificarea explicită” în fiecare dintre principalii vectori de atac. „În cazul în care conturile de utilizator au fost compromise, tehnici cunoscute, cum ar fi spray-ul cu parolă, phishing sau malware, au fost folosite pentru a compromite acreditările utilizatorului și au oferit atacatorului acces critic la rețeaua clienților”, scrie Weinert. În cazurile în care actorul a reușit, Weinert remarcă faptul că extrem de privilegiatele conturi de furnizori nu aveau protecții suplimentare, cum ar fi autentificarea cu mai mulți factori (MFA), restricțiile de gamă IP, conformitatea dispozitivelor sau recenziile de acces. Microsoft a constatat că 99,9% din conturile compromise pe care le urmărește în fiecare lună nu utilizează MFA . MFA este un control important, deoarece conturile cu privilegii ridicate compromise ar putea fi folosite pentru a falsifica jetoane SAML pentru a accesa resursele cloud. Această tehnică de atac ar putea fi contracarată și dacă ar exista permisiuni mai stricte pentru conturile și dispozitivele de utilizator. „Chiar și în cel mai rău caz de falsificare a simbolurilor SAML, permisiunile excesive ale utilizatorilor și lipsa restricțiilor privind dispozitivele și politicile de rețea au permis atacurile să progreseze”, notează Weinert.

„Primul principiu al Zero Trust este de a verifica în mod explicit - asigurați-vă că extindeți această verificare la toate cererile de acces, chiar și la cele de la furnizori și în special la cele din medii locale.” Cu Solorigate - denumirea pe care Microsoft o folosește pentru malware-ul SolarWinds - atacatorii „au profitat de atribuții de roluri largi, permisiuni care depășeau cerințele de rol și, în unele cazuri, au abandonat conturile și aplicațiile care nu ar fi trebuit să aibă deloc permisiuni”, notează Weinert. Weinert admite că hack-ul SolarWinds a fost un „atac cu adevărat semnificativ și avansat”, dar tehnicile pe care le-au folosit pot fi reduse semnificativ în risc sau pot fi atenuate cu aceste bune practici. Extrase din:

Postare Liam Tung | 20 ianuarie 2021 Subiect: Securitate