Atenção redobrada aos riscos da escalada de privilégios na Nuvem

Acredita-se que a disrupção é um dos importantes motores por trás das inovações e do crescimento das empresas. No entanto, mover-se mais rápido do que o planejado nem sempre é uma coisa boa, como as organizações em todo o mundo descobriram durante a pandemia da Covid-19. Embora, em 2020, tenhamos visto os programas de Transformação Digital avançarem mais de cinco anos em resposta à pandemia, essa rápida mudança para trabalho remoto em massa e conectividade em nuvem também significou que, para muitas organizações, algumas áreas foram bastante impactadas ao longo do caminho, incluindo a segurança.

Em uma pesquisa global que realizamos em meados de 2020 descobrimos que a segurança da Nuvem pública é uma grande preocupação para 75% das empresas, e mais de 80% das organizações identificaram que suas ferramentas de segurança existentes não funcionam na totalidade ou tinham apenas funções limitadas na Nuvem, expondo aos riscos de violações e ataques. A natureza dinâmica e rápida da nuvem é uma das principais causas desses riscos, porque geralmente leva à configuração incorreta de permissões e privilégios vinculados a identidades ou usuários.

Os atacantes e os cibercriminosos têm sido rápidos em explorar essas configurações incorretas e vulnerabilidades. O relatório de custo de uma violação de dados de 2020 do Ponemon Institute observou configurações incorretas de Nuvem como o ponto de entrada dos atacantes: combinado com credenciais roubadas ou comprometidas, esses problemas foram a causa de quase 40% de todas as violações. E também levaram a um dos maiores e mais significativos ciberataques de todos os tempos que foram os ataques de comprometimento da cadeia de suprimentos Sunburst, os quais violaram mais de 18 mil organizações governamentais e do setor privado e de tecnologia em todo o mundo por meio de um backdoor embutido em seu software de gerenciamento de rede SolarWinds.

O Dark Halo, o cibercriminoso por trás dos ataques Sunburst, confiou fortemente no modelo de Nuvem para acessar informações confidenciais e ganhar pontos de apoio nas redes das organizações visadas. Depois que uma empresa foi comprometida, o atacante se moveu lateralmente do backdoor no servidor SolarWinds de destino para seu servidor Active Directory Federation Services, que é responsável pelos processos de Single Sign On da organização para acessar serviços em nuvem como o Office365. Nesse ponto, o atacante usou uma técnica publicada anteriormente para obter acesso persistente, completo e difícil de detectar aos serviços de nuvem da vítima, permitindo que se explorasse e roubasse dados de e-mails e armazenamento.

Mas, como o atacante comprometeu os sistemas da SolarWinds em primeiro lugar, dando a si mesmo a plataforma a partir da qual eles poderiam usar o escalonamento de privilégios para atacar organizações usando seu software? As credenciais roubadas são uma das principais fontes de ataque que a SolarWinds está investigando: os executivos culparam um estagiário da empresa por um equívoco crítico na segurança de senha que não foi diagnosticado por anos, e ainda não descartaram esse erro como a causa raiz do ataque. Isso mostra o quão significativo pode ser uma única senha violada e roubada.

Ter privilégios não conquistados
O Sunburst é o exemplo de maior perfil de uma mudança significativa na natureza das configurações incorretas da Nuvem, as suas causas raízes e suas consequências no ano passado, como os erros das configurações de gerenciamento de identidade e acesso (IAM) que começaram a se destacar também. Esses ataques direcionados a contas de Nuvem, às vezes causados por falhas nas permissões do provedor ou na lógica da política de confiança, podem permitir que um atacante obtenha escalonamento de privilégios e mova-se lateralmente dentro do ambiente de nuvem da empresa, conseguindo assim chaves privadas de certificado, informações confidenciais e credenciais de banco de dados e habilitando acesso a dados confidenciais.

Essencialmente, assistimos a uma mudança no sentido de atacar contas de nuvem em vez de recursos deste ambiente. Essa mudança abriu a porta para vetores de ataque com base na suposição de função (a capacidade de obter permissões de curto prazo para recursos autorizados) que geralmente permite grandes operações dentro do ambiente de Nuvem, incluindo roubo de dados. De acordo com pesquisadores de segurança, as funções de gerenciamento de identidade e acesso (IAM) podem ser exploradas por 22 APIs encontradas em 16 serviços da AWS. Explorações de escalada de privilégios com base em configurações de permissão também podem ser encontradas no Salesforce, que, ao contrário do AWS, é uma solução SaaS (Software as a Service).

Essa nova classe de ataques de escalada de privilégios, aproveitando os componentes estruturais da infraestrutura em Nuvem, muitas vezes pode ser alcançada encadeando várias vulnerabilidades e configurações incorretas. O acesso inicial pode ser obtido por meio de um aplicativo vulnerável hospedado na Nuvem e usado pelos atacantes para obter o token necessário para obter permissões elevadas. Isso, então, permite que eles se movam lateralmente dentro dos diferentes segmentos do ambiente, aumentando gradualmente os privilégios.

Esses ataques dependem da compreensão dos componentes, da arquitetura e da política de confiança de provedores de IaaS (infraestrutura como Serviço), como Amazon, e SaaS para “construir” ataques sofisticados em vários estágios. Isso está em contraste com os tipos de violação de dados anteriormente comuns, que dependiam principalmente de configurações mal configuradas – como recipientes de armazenamento AWS S3 expostos publicamente.

Proteção dos privilégios
Então, como as organizações devem fazer para eliminar as lacunas de segurança e vulnerabilidades que podem ser exploradas por cibercriminosos? Como vimos anteriormente com o ataque Sunburst, às vezes a falha está em um aplicativo específico ou em vários aplicativos em seus ambientes. Isso significa que é fundamental monitorar os patches de segurança para todos os aplicativos usados e aplicá-los o mais rápido possível para minimizar a oportunidade de invasão. Também é útil garantir que serviços desnecessários em um aplicativo sejam desativados para minimizar os pontos de acesso à rede.

As organizações também devem projetar suas redes e infraestruturas de Nuvem de acordo com os princípios de privilégios mínimos, de modo que os usuários não tenham acesso a serviços que provavelmente não usarão. Muitos ataques contam com cadeias de exploração que combinam várias vulnerabilidades em vários sistemas, portanto, quebrar um elo dessa cadeia pode frequentemente interromper o ataque inteiro. Por fim, as empresas precisam obter visibilidade holística em todos os seus ambientes de Nuvem pública e implantar proteções nativas da Nuvem unificadas e automatizadas. Dessa forma, as organizações podem acompanhar as demandas de negócios enquanto garantem segurança e conformidade contínuas.

Por Claudio Bannwart, country manager da Check Point Brasil.