A Microsoft emite nesta semana um alerta crítico para organizações que usam o Windows Server, sobre uma nova onda de ataques que tentam dados de infraestruturas configuradas indevidamente ou sem os mecanismos de proteção adequados. O aviso está relacionado a uma campanha de exercícios que vem ocorrendo desde abril e seria de autoria do Nobelium, o mesmo grupo por trás dos golpes envolvendo os sistemas SolarWinds.
De acordo com a companhia, os ataques estão ocorrendo em grande escala e envolvem o uso de um malware chamado FoggyWeb. A praga foi validada por empresas especializadas em segurança digital, como a Volexity, e seria capaz de criar uma backdoor a partir do abuso de tokens de autenticação usados pelos servidores para comunicação entre as partes, a partir de um sistema chamado Security Assertion Markup Língua
A partir deles, é detonada a exploração nos Serviços de Federação do Active Directory, outro recurso das infraestruturas do Windows que permite logins a usuários e sistemas conectados dentro de uma organização. Ao localizar servidores comprometidos, o malware seria capaz de extrair informações relacionadas a certificados e certificados, bem como instalar remotamente novos componentes de forma remota, levando a novos procedimentos.
Os especialistas da Microsoft citam esta como uma backdoor persistente, que pode ser usada de diferentes maneiras pelos atacantes e, também, manipular como ocorrências legítimas que são feitas pelo servidor. Tudo isso, claro, enquanto se mantém ocultado de sistemas de segurança automatizados, se aproveitando, também, da ideia de que os servidores mal configurados também não fornecemiam muito escrutínio de seus administradores.
Nobelium tem origem russa
De origem russa, o Nobelium estava ligado diretamente ao serviço de inteligência do país, já sendo até mesmo acusados de espionagem internacional pelo governo dos Estados Unidos. O Serviço de Inteligência Estrangeira do país também é conhecido popularmente como Cosy Bear ou APT 29, no que toca suas operações maliciosas contra companhias e associações internacionais.
Desde maio, a Microsoft vem alertando seus usuários sobre diferentes famílias de malware que ambos sendo usados pelo grupo, cobrindo de phishing ou uma exploração de brechas em servidores. Neste caso, a empresa também emite avisos diretos aos clientes com vulnerabilidades detectáveis, de forma que os passos de mitigação sejam realizados para evitar os ataques ou impedir novas explorações.
A todos, a principal dica é quanto à auditoria da infraestrutura, no que toca o acesso dos usuários, privilégios de uso de cada um deles e demais privilegiados. A Microsoft recomenda a revisão de todas as configurações e a emissão de novas credenciais, fortes e aleatórias para todos, assim como o uso de módulos de segurança e monitoramento para evitar a instalação de malwares ou o desvio de informações específicas dos servidores.
CANALTECH
Nenhum comentário:
Postar um comentário