Em janeiro de 2024, a Microsoft descobriu que havia sido vítima de um hack orquestrado pelos hackers estatais russos Midnight Blizzard (às vezes conhecido como Nobelium). O detalhe preocupante sobre este caso é como foi fácil violar a gigante do software program. Não foi um hack altamente técnico que explorou uma vulnerabilidade de dia zero – os hackers usaram um simples ataque de spray de senha para assumir o controle de uma conta antiga e inativa. Isso serve como um forte lembrete da importância da segurança das senhas e por que as organizações precisam proteger todas as contas de usuário.
Pulverização de senha: um ataque simples, mas eficaz
Os hackers conseguiram entrar usando um ataque de pulverização de senha em novembro de 2023. A pulverização de senha é uma técnica de força bruta relativamente simples que envolve tentar a mesma senha em várias contas. Ao bombardear contas de usuários com senhas conhecidas como fracas e comprometidas, os invasores conseguiram obter acesso a uma conta de teste legada que não é de produção no sistema da Microsoft, o que lhes proporcionou uma posição inicial no ambiente. Esta conta tinha privilégios incomuns ou os hackers os escalaram.
O ataque durou até sete semanas, durante as quais os hackers exfiltraram e-mails e documentos anexados. Esses dados comprometeram uma “porcentagem muito pequena” de contas de e-mail corporativas, incluindo aquelas pertencentes a líderes seniores e funcionários das equipes de Segurança Cibernética e Jurídica. A equipe de segurança da Microsoft detectou o hack em 12 de janeiro e tomou medidas imediatas para interromper as atividades dos hackers e negar-lhes acesso adicional.
No entanto, o facto de os hackers terem conseguido aceder a tais informações internas sensíveis destaca os danos potenciais que podem ser causados pelo comprometimento mesmo de contas aparentemente insignificantes. Tudo o que os invasores precisam é de uma posição inicial em sua organização.
A importância de proteger todas as contas
Embora as organizações muitas vezes priorizem a proteção de contas privilegiadas, o ataque à Microsoft demonstra que cada conta de usuário é um ponto de entrada potencial para invasores. O escalonamento de privilégios significa que os invasores podem atingir seus objetivos sem necessariamente precisar de uma conta de administrador altamente privilegiada como ponto de entrada.
Proteger uma conta inativa com poucos privilégios é tão essential quanto proteger uma conta de administrador com altos privilégios por vários motivos. Primeiro, os invasores geralmente têm como alvo essas contas negligenciadas como possíveis pontos de entrada em uma rede. As contas inativas têm maior probabilidade de ter senhas fracas ou desatualizadas, tornando-as alvos mais fáceis para ataques de força bruta. Uma vez comprometidas, os invasores podem usar essas contas para se movimentar lateralmente na rede, aumentando seus privilégios e acessando informações confidenciais.
Em segundo lugar, as contas inativas são frequentemente negligenciadas em termos de medidas de segurança, tornando-as alvos atraentes para hackers. As organizações podem ignorar a implementação de políticas de senhas fortes ou autenticação multifatorial para essas contas, deixando-as vulneráveis à exploração. Do ponto de vista de um invasor, mesmo contas com poucos privilégios podem fornecer acesso valioso a determinados sistemas ou dados dentro de uma organização.
Defenda-se contra ataques de spray de senha
O hack da Microsoft serve como um alerta para que as organizações priorizem a segurança de cada conta de usuário. Ele destaca a necessidade crítica de medidas robustas de proteção por senha em todas as contas, independentemente da sua importância percebida. Ao implementar políticas de senhas fortes, permitir a autenticação multifatorial, realizar auditorias regulares do Energetic Listing e verificar continuamente senhas comprometidas, as organizações podem reduzir significativamente o risco de serem apanhadas da mesma forma.
- Auditoria do Energetic Listing: A realização de auditorias regulares do Energetic Listing pode fornecer visibilidade de contas não utilizadas e inativas, bem como de outras vulnerabilidades relacionadas a senhas. As auditorias fornecem um instantâneo valioso do seu Energetic Listing, mas devem sempre ser complementadas por esforços contínuos de mitigação de riscos. Se você não tiver visibilidade das contas de usuários inativas e obsoletas da sua organização, considere executar uma auditoria somente leitura com nossa ferramenta de auditoria gratuita que fornece um relatório exportável interativo: Specops Password Auditor.
- Políticas de senha robustas: As organizações devem impor políticas de senhas fortes que bloqueiem senhas fracas, como termos comuns ou comandos de teclado como 'qwerty' ou '123456'. A implementação de senhas ou frases secretas longas e exclusivas é uma forte defesa contra ataques de força bruta. Também devem ser incluídos dicionários personalizados que bloqueiem termos relacionados à organização e ao setor.
- Autenticação multifator (MFA): A ativação do MFA adiciona um obstáculo de autenticação a ser superado pelos hackers. O MFA serve como uma importante camada de defesa, embora valha a pena lembrar que o MFA não é infalível. Ele precisa ser combinado com uma senha de segurança forte.
- Verificações de senha comprometidas: Até mesmo senhas fortes podem ser comprometidas se os usuários finais as reutilizarem em dispositivos pessoais, websites ou aplicativos com segurança fraca. A implementação de ferramentas para verificar continuamente o Energetic Listing em busca de senhas comprometidas pode ajudar a identificar e mitigar riscos potenciais.
Desligue continuamente rotas de ataque para hackers
O hack da Microsoft ressalta a necessidade das organizações implementarem medidas robustas de proteção por senha em todas as contas. Uma política de senha segura é essencial, garantindo que todas as contas, incluindo contas legadas, de não produção e de teste, não sejam esquecidas. Além disso, o bloqueio de credenciais comprometidas conhecidas adiciona uma camada further de proteção contra ataques ativos.
A Política de Senha Specops com Proteção de Senha Violada oferece proteção automatizada e contínua para seu Energetic Listing. Ele protege seus usuários finais contra o uso de mais de 4 bilhões de senhas comprometidas conhecidas e exclusivas, incluindo dados de vazamentos conhecidos, bem como nosso próprio sistema honeypot que coleta senhas usadas em ataques reais de pulverização de senhas.
A atualização diária da API de proteção de senha violada, combinada com verificações contínuas do uso dessas senhas em sua rede, equivale a uma defesa muito mais abrangente contra a ameaça de ataque de senha e o risco de reutilização de senha. Fale com um especialista hoje para descobrir como a Política de Senha Specops pode se adequar à sua organização.
