Isole seu Active Directory Federation Server, porque os principais hackers do Kremlin os valorizam pela autenticação depois de comprometer a rede de um alvo.

 

A Microsoft alertou que o grupo de hackers por trás do ataque à cadeia de suprimentos SolarWinds de 2020 tem uma nova técnica para contornar a autenticação em redes corporativas.

O truque, um recurso altamente especializado que a Microsoft chama de "MagicWeb", permite que os atores mantenham uma posição firme em uma rede, mesmo que os defensores tentem ejetá-los. No entanto, ao contrário dos ataques anteriores do grupo, que a Microsoft rastreia como Nobelium, eles não estão empregando ataques à cadeia de suprimentos para implantar o MagicWeb, mas estão abusando de credenciais de administrador. 

Os EUA e o Reino Unido dizem que os atores do Nobelium são da unidade de hackers do Serviço de Inteligência Estrangeira da Rússia (SVR). Os atores do Nobelium realizaram vários ataques de alto perfil na cadeia de suprimentos desde que comprometeram os sistemas de construção de software da SolarWinds no final de 2020. Esse ataque comprometeu 18.000 alvos, incluindo várias agências e empresas de tecnologia dos EUA, incluindo a Microsoft . 

Desde então, a Microsoft e outras empresas de segurança identificaram várias ferramentas sofisticadas, como backdoors, usadas pelo Nobelium – e o MagicWeb é o mais recente. O MagicWeb tem como alvo os sistemas de identidade corporativa, ou seja, o Active Directory Federation Server (AD FS), o que significa servidores AD locais versus Azure Active Directory baseado em nuvem. Como resultado, a Microsoft recomenda isolar o AD FS e restringir o acesso a ele.

A Microsoft enfatiza que o Nobelium continua "altamente ativo". Em julho passado, a Microsoft revelou que havia encontrado um malware ladrão de informações da Nobelium no PC de um de seus agentes de suporte, que foi usado para lançar ataques a outros. Os atores do Nobelium também se passaram pela USAID em campanhas de spear phishing . 

Em outubro, a Microsoft destacou os ataques do Nobelium a revendedores de software e serviços em nuvem , mais uma vez abusando da confiança entre fornecedor e cliente para explorar o acesso direto aos sistemas de TI dos clientes. 

Um mês antes dos ataques de nuvem/revendedor, ele expôs uma ferramenta Nobelium chamada FoggyWeb , um backdoor pós-comprometimento que coletava detalhes de um AD FS para obter certificados de assinatura e criptografia de token e implantar malware. 

O MagicWeb emprega métodos semelhantes visando o AD FS, mas a Microsoft diz que "vai além dos recursos de coleta do FoggyWeb, facilitando o acesso secreto diretamente".

"MagicWeb é uma DLL maliciosa que permite a manipulação das declarações passadas em tokens gerados por um servidor de Serviços Federados do Active Directory. Ele manipula os certificados de autenticação de usuário usados ​​para autenticação, não os certificados de assinatura usados ​​em ataques como Golden SAML."

SAML refere-se a Security Assertion Markup Language, que usa certificados x509 para estabelecer relações de confiança entre provedores de identidade e serviços e para assinar e descriptografar tokens, explica a Microsoft.

Antes de implantar o MagicWeb, os atores obtiveram acesso a credenciais altamente privilegiadas e, em seguida, moveram-se lateralmente na rede para obter direitos de administrador em um sistema AF FS. 

"Este não é um ataque à cadeia de suprimentos", enfatizou a Microsoft. "O invasor teve acesso de administrador ao sistema AD FS e substituiu uma DLL legítima por sua própria DLL maliciosa, fazendo com que o malware fosse carregado pelo AD FS em vez do binário legítimo." 

As equipes de segurança da empresa de Redmond – MSTIC da Microsoft, Microsoft 365 Defender Research e Microsoft Detection and Response Team (DART) – encontraram o MagicWeb nos sistemas de um cliente. Ele avalia que o MagicWeb é usado em ataques "altamente direcionados". 

A Microsoft está recomendando que os clientes mantenham a infraestrutura do AD FS isolada e acessível apenas pelas contas de administrador dedicadas ou migrem para o Azure Active Directory. 

A Microsoft oferece uma explicação detalhada de como MagicWeb consegue seu bypass de autenticação. A explicação depende da compreensão de como funciona a "autenticação baseada em declarações" do AD FS. Em vez de logon único para uma organização, o AD FS pode usar "declarações" (tokens) para permitir que partes externas – clientes, parceiros e fornecedores – autentiquem com logon único. 

"O MagicWeb se injeta no processo de declarações para executar ações maliciosas fora das funções normais de um servidor AD FS", explica a Microsoft. 

MagicWeb também abusa dos certificados SAML x509 que "contêm valores de uso avançado de chave (EKU) que especificam para quais aplicativos o certificado deve ser usado". Os EKUs apresentam valores de Identificador de Objeto (OID) para dar suporte, por exemplo, ao logon de SmartCard. As organizações também podem criar OIDs personalizados para restringir o uso de certificados. 

"O desvio de autenticação do MagicWeb vem da passagem de um OID de uso de chave aprimorado não padrão que é codificado no malware MagicWeb durante uma solicitação de autenticação para um nome principal de usuário especificado", explica a Microsoft. 

"Quando esse valor OID codificado exclusivo for encontrado, o MagicWeb fará com que a solicitação de autenticação ignore todos os processos padrão do AD FS (incluindo verificações de MFA) e valide as declarações do usuário. O MagicWeb está manipulando os certificados de autenticação do usuário usados ​​em entradas SAML , não os certificados de assinatura para uma declaração SAML usada em ataques como Golden SAML." 

Defensores que trabalham em organizações que provavelmente serão alvos devem revisar a postagem do blog da Microsoft para obter conselhos sobre como fortalecer as redes e proteger a infraestrutura de identidade e autenticação. 

 

 

 

 

 

 

 

 

Fonte:ZDnet