Com tantos roubos de acesso, saiba como evitar o shadow credentials
Esses ataques envolvem invasores que exploram certas partes de um sistema chamado Active Directory (AD) que gerencia o acesso do usuário a vários serviços
Os ataques a certificados forjados, que podem levar ao acesso não autorizado a recursos importantes da empresa – também conhecidos como shadow credentials – envolvem invasores que exploram certas partes de um sistema chamado Active Directory (AD) que gerencia o acesso do usuário a vários serviços.
Apesar do conhecimento sobre as possíveis causas e estratégias para evitá-los, os acessos não autorizados ainda são bastante comuns. De acordo com uma pesquisa realizada pela empresa de segurança Proofpoint em 2023, 94% dos usuários que pagam por servidores em nuvem já passaram por tentativas de roubo de acesso.
A diferença em relação aos outros ataques nos quais o roubo dos dados são vendidos na dark web, o shadow credentials consiste em um ataque no qual uma credencial válida é anexada a alternativas de autenticações falsas. Elas permitem ao atacante se utilizar desse movimento para assumir controle de um usuário ou da conta de um computador/ servidor.
FRAGILIDADE DE PROCESSOS DE AUTENTICAÇÃO
Basicamente, essa técnica consiste em associar uma chave ou acesso que não pertence ao controle da empresa a uma credencial válida que tenha privilégios de administrador. Assim, o atacante consegue criar e gerir novos acessos de uma forma que parece ser válida pelos processos corporativos de autenticação.
Com isso há a liberdade de gerenciamento e acesso a dados e usuários. O caso pode passar despercebido por ferramentas de controle e validação, fazendo com que a permanência do atacante se prolongue no ambiente pois ele se insere nas bases de usuários/ administradores.
Segundo Waldo Gomes, diretor da empresa especializada em segurança da informação Netsafe Corp, trata-se de um ataque persistente com movimentações laterais. "A forma como essa operação é efetuada, utilizando-se uma credencial válida mas que é controlada por uma conta que fica 'à sombra' dessa credencial, identifica o tipo de ataque e dá nome à ameaça", explica.
Esse tipo de ataque começou a ser identificado com mais frequência em 2019, mas a ampliação do trabalho e acessos remotos contribuiu para aumentar essa fragilidade.
"Para 'facilitar' o acesso dos usuários, muitas empresas não fazem um trabalho mais minucioso na distribuição de privilégios, mantendo muitos acessos com possibilidades de gerenciamento bem acima do necessário para o trabalho do funcionário", diz Gomes.
O QUE FAZER EM CASOS DE SHADOW CREDENTIALS?
Para evitar esse tipo de ataque, recomenda-se auditar proativamente o controle de objetos de entrada nas contas com privilégios elevados e utilizar ferramentas para controle de credenciais, controle de atividades e tráfego de informações.
94% dos usuários que pagam por servidores em nuvem já passaram por tentativas de roubo de acesso.
"É importantíssimo mapear e controlar as contas confiáveis e de muitos privilégios. Um bom cofre de senhas pode inibir esse tipo de ação, além de buscar por modificações ao atributo msDS-KeyCredentialLink em um computador ou objeto do AD, já que geralmente esse fato identifica o ataque em curso", explica Borges.
Caso um ataque seja identificado, é necessário reestabelecer os limites das contas, identificar as modificações e limitar as comunicações para evitar a saída de informações privilegiadas.
"Fazer com que as contas voltem a situação original que foram criadas é crucial para que o ataque se encerre e as operações dos usuários não sejam afetadas", afirma o executivo.