{"id":9589,"date":"2017-08-23T21:39:38","date_gmt":"2017-08-24T00:39:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9589"},"modified":"2018-09-18T09:50:55","modified_gmt":"2018-09-18T12:50:55","slug":"services-as-a-weapon","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/services-as-a-weapon\/9589\/","title":{"rendered":"Ataques contra empresas usam servi\u00e7os da Microsoft"},"content":{"rendered":"

Hackers est\u00e3o se aproveitando de softwares leg\u00edtimos. Diversas apresenta\u00e7\u00f5es da confer\u00eancia Black Hat 2017 demonstraram que as solu\u00e7\u00f5es empresariais da Microsoft podem ser bem \u00fateis nas m\u00e3os de pessoas mal-intencionadas.<\/p>\n

Empresas que usam clouds h\u00edbridas precisam adotar diferentes considera\u00e7\u00f5es de seguran\u00e7a das que usam sistemas de nuvem tradicionais. Contudo, na pr\u00e1tica, as atualiza\u00e7\u00f5es n\u00e3o s\u00e3o feitas r\u00e1pido o suficiente, e o resultado s\u00e3o in\u00fameros pontos cegos que hackers podem explorar, como demonstrado em julho na confer\u00eancia hacker a Black Hat 2017. Estudos mostraram o quanto a infraestrutura de neg\u00f3cios pode de fato ajudar cibercriminosos a se manter invis\u00edveis para a maioria das solu\u00e7\u00f5es de seguran\u00e7a.
\n\"\"Assim que os hackers se infiltram na rede corporativa, sua maior dificuldade \u00e9 encobrir a troca de dados entre m\u00e1quinas infectadas. Essencialmente, seu objetivo \u00e9 impelir m\u00e1quinas infectadas a receberem comandos e transmitir informa\u00e7\u00f5es roubadas sem alertar sistemas de detec\u00e7\u00e3o de invasores (sigla em ingl\u00eas IDS) e sistemas de preven\u00e7\u00e3o de perda de dados (DLP). Favorecendo esses ataques, os servi\u00e7os da Microsoft \u00e0s vezes n\u00e3o funcionam em zonas de restri\u00e7\u00e3o de seguran\u00e7a, de modo que os dados transmitidos por esses eles n\u00e3o s\u00e3o verificados profundamente.<\/p>\n

Estudo desenvolvido por Ty Miller e Paul Kalinin, da Threat Intelligence, mostra como bots podem se comunicar por meio de servi\u00e7os de diret\u00f3rios ativos (AD em ingl\u00eas) em uma rede corporativa. Pois todos os clientes \u2013 incluindo dispositivos m\u00f3veis \u2013 \u00a0e a maioria dos servidores, tem de acessar o AD para autentica\u00e7\u00e3o, e seus servidores s\u00e3o o \u201cponto central de comunica\u00e7\u00e3o\u201d -bem conveniente para gerenciar uma botnet. Al\u00e9m disso, os pesquisadores dizem que a integra\u00e7\u00e3o do Azure AD com servidores de AD garantem acesso direto do lado de fora.<\/p>\n

Como o AD pode auxiliar uma botnet a extrair dados? O conceito \u00e9 bem simples. Por defini\u00e7\u00e3o, cada cliente na rede pode atualizar suas informa\u00e7\u00f5es \u2013 por exemplo, n\u00famero do usu\u00e1rio e endere\u00e7o de e-mail \u2013 no servidor AD. Os campos pass\u00edveis de escrita incluem alguns de alta capacidade que podem armazenar at\u00e9 1 megabyte de dados. Outros usu\u00e1rios de AD podem ler toda essa informa\u00e7\u00e3o, criando assim um canal de comunica\u00e7\u00e3o.
\n
\nPesquisadores recomendam monitoramento peri\u00f3dico de campos de AD por mudan\u00e7as pouco usuais e a\u00e7\u00f5es que desabilitem a capacidade dos usu\u00e1rios de escrever na maioria dos campos.
\n<\/p>\n

Estudo realizado por Craig Dod, da Juniper Networks, esclarece outra t\u00e9cnica para extra\u00e7\u00e3o de dados encobertos, utilizando o Office 365 services. A t\u00e9cnica mais popular emprega o OneDrive para Business, que quase 80% dos clientes usam. Hackers gostam disso porque o pessoal de TI normalmente confia nos servers da Microsoft, fornecendo conex\u00f5es de alta velocidade e permitindo ignorar criptografia para uploads. Como resultado, a tarefa de um cibercriminoso \u00e9 reduzida a conectar-se ao disco do OneDrive em um computador alvo por meio de credenciais de usu\u00e1rio fora da empresa. Nesse caso, copiar os dados para o OneDrive n\u00e3o se enquadra em evas\u00e3o do per\u00edmetro, de modo que sistemas de seguran\u00e7a assumem que o disco conectado \u00e9 de natureza corporativa. Esse disco pode ser conectado de forma invis\u00edvel, diminuindo as chances de detec\u00e7\u00e3o. Por isso, o respons\u00e1vel pelo ataque precisa de duas outras ferramentas da Microsoft para isso, o Internet Explorer e o PowerShell. Como resultado, um bot pode copiar livremente dados para \u201cseu pr\u00f3prio\u201d disco, e o autor pode simplesmente baix\u00e1-los do OneDrive.
\n
\nDe acordo com Dods, para se proteger contra esse tipo de ataque, usu\u00e1rios precisam restringir o acesso para permitir apenas subdom\u00ednios do Office 365 que pertence \u00e0 empresa. Executar uma inspe\u00e7\u00e3o do tr\u00e1fego criptografado e analisar o comportamento dos conflitos do PowerShell em sandbox tamb\u00e9m \u00e9 recomendado.<\/p>\n

Leve em conta que essas amea\u00e7as s\u00e3o apenas hipot\u00e9ticas. Para usar essas tecnologias, cibercriminosos entrar na infraestrutura da v\u00edtima, de alguma forma. Feito isso, sua atividade ser\u00e1 indetect\u00e1vel n\u00e3o apenas para a maioria das solu\u00e7\u00f5es de seguran\u00e7a atualizadas, mas para observadores despreparados tamb\u00e9m. \u00c9 por isso que faz sentido analisar a infraestrutura de TI em busca de vulnerabilidades periodicamente. N\u00f3s, por exemplos, temos diversos servi\u00e7os especializados<\/a> em an\u00e1lises do que ocorre dentro da infraestrutura da perspectiva da seguran\u00e7a da informa\u00e7\u00e3o \u2013 e, se necess\u00e1rio vasculhar o sistema por intrus\u00f5es.<\/p>\n","protected":false},"excerpt":{"rendered":"

Black Hat 2017 apresenta como as solu\u00e7\u00f5es de seguran\u00e7a da Microsoft podem ser \u00fateis nas m\u00e3os de cibercriminosos.<\/p>\n","protected":false},"author":32,"featured_media":9590,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[1250,1259,290,1258,1185,1264,1265],"class_list":{"0":"post-9589","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-bhusa","11":"tag-klbh17","12":"tag-black-hat","13":"tag-black-hat-2017","14":"tag-business","15":"tag-diretorio-ativo","16":"tag-office-360"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/services-as-a-weapon\/9589\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/services-as-a-weapon\/11095\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/services-as-a-weapon\/9192\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/services-as-a-weapon\/4926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/services-as-a-weapon\/12406\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/services-as-a-weapon\/11630\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/services-as-a-weapon\/11158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/services-as-a-weapon\/14087\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/services-as-a-weapon\/14099\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/services-as-a-weapon\/18452\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/services-as-a-weapon\/17971\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/services-as-a-weapon\/14420\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/services-as-a-weapon\/8296\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/services-as-a-weapon\/17703\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/services-as-a-weapon\/17709\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/services-as-a-weapon\/17670\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9589"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9589\/revisions"}],"predecessor-version":[{"id":9594,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9589\/revisions\/9594"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9590"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}