Lecție esențială de la Microsoft privind atacurile Password Spraying: Securizați fiecare cont

În luna ianuarie 2024, compania Microsoft a descoperit că a fost victima unui atac cibernetic, problema fiind modalitatea de a pătrunde în cadrul sistemului. În urma analizei, s-a constatat că a fost folosit un simplu atac de tip password spraying pentru obținerea unui cont inactiv.

Acest lucru accentuează importanța securității parolelor și responsabilitatea organizațiilor de a aplica cele mai stricte măsuri de protecție pentru conturile de utilizator.

Password spraying: un atac simplu, dar eficient

Persoanele rău intenționate au reușit să obțină acces în urma utilizării unui atac de tip password spraying în noiembrie 2023.

Un astfel de atacreprezintă o tehnică de tip brute force, care presupune încercarea de a folosi aceeași parolă pentru mai multe conturi. 

Prin acest tip de atac asupra conturilor de utilizator cu parole slabe și compromise, atacatorii au reușit să obțină acces la un cont inactiv în cadrul sistemului Microsoft, acesta având privilegii ridicate sau fiind escaladate privilegiile de către atacatori.

Atacul a durat până la șapte săptămâni, timp în care persoanele rău intenționate au exfiltrat e-mail-uri și documente atașate. Aceste date au compromis un “procentaj foarte mic” de conturi de e-mail ale companiei, inclusiv cele aparținând personalului de conducere și angajaților din echipele de securitate cibernetică și juridică.

Echipa de securitate a companiei Microsoft a detectat atacul pe 12 ianuarie și a luat măsuri imediate pentru a întrerupe activitățile rău intenționate și totodată accesul.

Importanța protejării tuturor conturilor

În timp ce organizațiile acordă adesea prioritate protecției conturilor privilegiate, atacul asupra Microsoft demonstrează că fiecare cont de utilizator este un potențial punct de intrare pentru atacatori. Escaladarea privilegiilor presupune că atacatorii își pot atinge obiectivele fără a avea neapărat nevoie de un cont de administrator cu privilegii ridicate ca punct de intrare.

Protejarea unui cont inactiv cu privilegii reduse este la fel de crucială ca și protejarea unui cont de administrator cu privilegii ridicate din mai multe motive:

• Conturile inactive reprezintă un punct slab în cadrul organizațiilor prin prisma parolelor slabe sau neactualizate făcându-le țintele atacurilor de tip brute force;
• Organizațiile omit implementarea unor politici de parole complexe sau a măsurilor de autentificare multi-factor pentru conturile inactive.

Măsuri de protecție împotriva atacurilor de tip Password Spraying

Atacul asupra companiei Microsoft semnalează o importanță aparte pentru conturile de utilizator din cadrul organizațiilor referitor la măsurile de securitate a conturilor.

Prin implementarea unor politici solide privind parolele, activarea autentificării multi-factor, efectuarea de verificări periodice ale Active Directory și scanarea continuă a parolelor compromise, organizațiile pot reduce semnificativ riscul de a fi surprinse în același mod.

1. Verificarea periodică – Active Directory: efectuarea unor verificări periodice ale Active Directory poate oferi vizibilitate asupra conturilor neutilizate și inactive, precum și asupra altor vulnerabilități legate de parole.
2. Politici stricte privind parolele: aplicarea unor politici de securitate puternice privind parolele care să blocheze utilizarea parolelor slabe (ex: “qwerty”; “123456”) și implementarea unor parole complexe (ex: “Th1R3#X9”).
3. Autentificarea multi-factor: implementarea autentificării multi-factor reprezintă un strat important de protecție a parolelor și totodată un impediment împotriva atacurilor privind parolele.
4. Scanarea parolelor compromise: evitarea utilizării unei singure parole pentru mai multe conturi, utilizării parolelor personale pe conturile de serviciu sau utilizarea pe aplicații cu securitate slabă.

Blocarea continuă a rutelor de atac

O politică de parole securizată este esențială, asigurându-se că toate conturile, inclusiv cele vechi, inactive și de testare, nu sunt evitate. În plus, blocarea credențialelor compromise cunoscute adaugă un nivel suplimentar de protecție împotriva atacurilor active.

Specops Password Policy cu Breached Password Protection oferă protecție automată și continuă pentru Active Directory. Protejează utilizatorii împotriva utilizării a peste 4 miliarde de parole compromise unice cunoscute.

Actualizarea zilnică a API-ului Breached Password Protection împreună cu scanările continue pentru utilizarea acestor parole în rețele, reprezintă o măsură de protecție mult mai avansată împotriva amenințării atacurilor cu parole și a riscului de reutilizare a parolelor.

Sursă: https://thehackernews.com/2024/03/key-lesson-from-microsofts-password.html