[Notadeleditor: El consultor de seguridad independiente Christopher Budd trabajó anteriormente en el Centro de respuesta de seguridad de Microsoft durante 10 años.]
Análisis: Para comprender dónde están los atacantes de SolarWinds A continuación, y cómo defenderse de ellos, mire las nubes.
Los ataques a la cadena de suministro de SolarWinds no tienen precedentes en muchos sentidos. Los ataques son sofisticados en su ejecución, de amplio alcance e increíblemente potentes en su eficacia. Pero quizás lo más notable es la forma sin precedentes en la que los atacantes de SolarWinds parecen estar buscando acceso a servicios basados en la nube como uno de sus objetivos clave.
Esto se está volviendo más claro a medida que nuevos informes aclaran información confusa por la jerga técnica en los primeros informes de incidentes. la semana pasada.
El lunes, el New York Times informó que »
Esto nos dice que los atacantes han adaptado su metodología de ataque para que coincida con el híbrido en locales / entornos de nube que muchas organizaciones tienen ahora. Esto significa que los que responden a los ataques de SolarWinds deben mirar no solo sus sistemas y redes, sino también sus servicios basados en la nube en busca de evidencia de compromiso. Esto también significa que los defensores deben aumentar la seguridad y el monitoreo de sus sistemas de autenticación e infraestructura de servicios en la nube a partir de ahora.
Exploraremos los detalles técnicos a continuación, pero aquí están las conclusiones clave:
- Una de las claves Las acciones que toman los atacantes de SolarWinds después de establecerse en las redes es apuntar a los sistemas que emiten la prueba de identidad utilizada por los servicios basados en la nube y robar los medios para emitir identificaciones.
- Una vez que tienen esto, pueden usarlo para crear identificaciones falsas que permiten a los atacantes hacerse pasar por usuarios legítimos o crear cuentas maliciosas que parecen legítimas, incluidas las cuentas con acceso administrativo (es decir, total).
- Debido a que estas identificaciones se utilizan para dar acceso a datos y servicios por servicios basados en la nube, los atacantes pueden acceder a los datos y al correo electrónico como usuarios legítimos, incluidos aquellos con acceso total, y lo hacen.
Es muy probable que así sea como los atacantes de SolarWinds obtuvieron acceso a Los sistemas de correo electrónico de Treasury y NTIA: aprovecharon el compromiso de la red para obtener acceso a servicios basados en la nube. De hecho, una de las publicaciones de Microsoft sobre el ataque SolarWinds habla sobre «Proteger Microsoft 365 de ataques locales», lo que realmente significa «Cómo evitar que el compromiso de su red se convierta también en un compromiso de servicios en la nube». [19659014] ¿Qué es SAML y por qué es importante?
Para comprender este aspecto de los ataques de SolarWinds, es importante saber que SAML significa «Security Assertion Markup Language». Es un método de autenticación (es decir, inicio de sesión) que se utiliza en servicios basados en la nube. Un «token SAML» es la «prueba» real del servicio de que usted es quien dice ser.
Los expertos en tecnologías de autenticación o de nube no encontrarán sorprendentes los desarrollos del Tesoro o de la NTIA: Microsoft dejó este aspecto claro en ambos sus publicaciones del 13 de diciembre: «Orientación al cliente sobre los recientes ataques cibernéticos de un estado-nación» y «Pasos importantes para que los clientes se protejan de los recientes ataques cibernéticos de un estado-nación». Ambas publicaciones tienen un lenguaje similar:
- El intruso «usa los permisos administrativos adquiridos a través del compromiso local para obtener acceso a la cuenta de administrador global de la organización y / o al certificado de firma de token SAML confiable. Esto permite al actor falsificar tokens SAML que se hacen pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados ”.
- “ Los inicios de sesión anómalos que utilizan los tokens SAML creados por el certificado de firma de tokens comprometidos se pueden realizar contra cualquier recursos de las instalaciones (independientemente del sistema de identidad o del proveedor), así como a cualquier entorno de nube (independientemente del proveedor) porque se han configurado para confiar en el certificado. Debido a que los tokens SAML están firmados con su propio certificado de confianza, la organización podría pasar por alto las anomalías ”.
Luego, Microsoft publicó una serie de publicaciones de blog en las que se habla de los ataques de SolarWinds, SAML y tecnologías de identidad (15 de diciembre; 18 de diciembre). ; 21 de diciembre; y 21 de diciembre).
Mientras tanto, el 18 de diciembre, la NSA publicó una directiva sobre «Detectar el abuso de los mecanismos de autenticación». Si bien no es una respuesta específica a los ataques de SolarWinds, analiza los ataques de SAML y coloca los ataques de SolarWinds en el contexto de estos ataques, que han existido desde 2017.
La información está dispersa en todas estas publicaciones, pero juntas dejan en claro que :
- Una de las acciones clave que los atacantes de SolarWinds están tomando después de establecerse en las redes es «[steal] el certificado que firma los tokens SAML del servidor de federación (ADFS) llamado Token Signing Cert (TSC)». [Source]
- Una vez que tienen esto, les permite «falsificar tokens SAML para hacerse pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados». [Source]
- Porque “[d] un acceso se ha basado en el aprovechamiento de tokens SAML acuñados para acceder a archivos / correo electrónico de usuario o hacerse pasar por las aplicaciones o los directores de servicio mediante la autenticación y obtención de tokens de acceso utilizando las credenciales que se agregaron …
¿Qué significa esto?
Para los profesionales de la seguridad, aquí no hay nada nuevo o sorprendente: el acceso total a una red significa que puede hacer lo que quiera con ella. Además, el documento de la NSA señala que estos ataques se han visto desde 2017. Pero este es el primer ataque importante con este tipo de visibilidad amplia que apunta a los mecanismos de autenticación basados en la nube. Eso, combinado con la jerga técnica de estos informes, significa que muchas personas aún no han conectado estos puntos.
No ayuda que parte de la discusión sobre este aspecto no haya sido clara. Algunos informes han indicado que existe una vulnerabilidad que afecta los productos o servicios de Microsoft involucrados en las intrusiones de correo electrónico del Tesoro o de la NTIA. Le pregunté a Microsoft si había alguna vulnerabilidad involucrada y respondió: “No hemos identificado ninguna vulnerabilidad de productos o servicios en la nube de Microsoft en estas investigaciones. Una vez en una red, el intruso utiliza el punto de apoyo para obtener privilegios y usar ese privilegio para obtener acceso «.
La NSA también habla de esto, diciendo:» [b] y abusando de la autenticación federada, los actores no están explotando una vulnerabilidad en [the Microsoft authentication technologies] ADFS, AD o AAD, sino más bien abusando de la confianza establecida entre los componentes integrados «. Eso es consistente con lo que he descrito: los atacantes que son dueños de su red no necesitan una vulnerabilidad para obtener acceso a sus servicios basados en la nube; ya tienen todo lo que necesitan para lograrlo.
Y aunque la discusión se ha centrado en los servicios basados en la nube de Microsoft, hasta ahora no hay información que indique que estos ataques solo pueden ocurrir contra sus productos o servicios. SAML es un estándar abierto ampliamente ofrecido por proveedores distintos de Microsoft y utilizado por servicios basados en la nube que no son de Microsoft. Los ataques de SolarWinds y este tipo de ataques basados en SAML contra los servicios en la nube en el futuro pueden involucrar a proveedores de servicios en la nube y proveedores de servicios en la nube que no sean de Microsoft.
Próximos pasos
Teniendo todo esto en cuenta, ¿qué pasos deben seguir las personas?
Primero, si su organización ha tenido los archivos SolarWinds comprometidos en su red, su proceso de respuesta a incidentes debe incluir la verificación de sus sistemas de autenticación para sus servicios basados en la nube para detectar posibles compromisos. Y si no puede descartar que se haya visto comprometido, deberá verificar la integridad de esos servicios.
A continuación, todos los que utilicen servicios basados en la nube deben tomar muy en serio las directivas de la NSA y priorizar el aumento de la seguridad y la supervisión de su mecanismo de autenticación de servicios basados en la nube.
Finalmente, esté preparado para escuchar acerca de los servicios basados en la nube de más organizaciones que se han visto comprometidos como parte de los ataques de SolarWinds. Este es el ataque más grande y amplio que hemos visto. Como resultado, es una situación que llevará meses, si no años, para desenredar completamente.
Deja una respuesta