Barracuda full logo

Qual é a dimensão da sua superfície de ataque Microsoft?

Tópicos:
16 jan. 2024
|
Christine Barry

Qual é a dimensão da sua superfície de ataque da Microsoft? Sabe quanto Microsoft está a defender?

Os sistemas operativos e aplicações Microsoft são quase inevitáveis em ambientes empresariais. Não estou a dizer que os devamos evitar. O Windows e o Microsoft 365 são os meus sistemas de eleição e gosto que assim seja, mas não podemos ignorar o facto de os produtos Microsoft serem os alvos preferidos dos atacantes em todo o lado. O Active Directory, SQL, Microsoft 365, Outlook e tantos outros produtos Microsoft têm vulnerabilidades que podem ser exploradas. As más configurações e práticas de segurança inadequadas aumentam o risco. Existe um produto Microsoft para quase todos os vetores de ameaça.

Quanto Microsoft existe por aí?

Se está apenas a olhar para sistemas operativos de desktop Windows, a Microsoft domina com cerca de 70% de quota de mercado em julho de 2023. Esse número cai quase 6% se adicionar tablets e consolas à mistura. A quota de mercado total de e-mail hospedado para o Microsoft Exchange Online é um pouco mais de 39%, mas a quota de mercado total de e-mail para produtos Exchange on-premises e hospedados é mais difícil de encontrar. Dentro da família, a dominância do Exchange Online sobre as implementações on-premises é de cerca de 3 para 1. Isto é uma coisa boa para a maioria das empresas, já que o Exchange Online é muito mais fácil de manter e gerir do que uma implementação on-premises. Existem aquelas empresas que ainda precisam ou querem executar o Exchange on-premises, e elas podem ter algum trabalho a fazer se querem mantê-los seguros. A próxima versão do Microsoft Exchange está prevista para a primeira metade de 2025. Isto é quatro anos além da sua data de lançamento original porque os esforços de desenvolvimento foram focados em proteger os servidores existentes contra ataques de estados-nação.  

Microsoft SQL Server (MSSQL) é um servidor de bases de dados amplamente utilizado em implementações locais. Uma versão hospedada de SQL Server está disponível na Microsoft Azure. Não houve anúncio de planos para a próxima versão. A suite de produtividade Microsoft 365 explodiu quando a pandemia mandou toda a gente para casa desde o escritório, e em dezembro de 2023, havia 345 milhões de clientes pagantes a utilizar o software.

E depois há o Microsoft Active Directory (AD), que é um conjunto de processos que executam num sistema operativo Windows Server. O AD armazena informações sobre os objetos na rede e serve como um ponto centralizado de gestão para utilizadores, dispositivos, permissões, grupos, etc.

Este grupo de produtos não inclui tudo, mas percebe-se a ideia.

Velho é ouro.

Sistemas antigos e vulnerabilidades não corrigidas são oportunidades de ouro para atores de ameaças. Não há como dizer exatamente quantas vulnerabilidades e oportunidades de ameaças estão "em circulação" em qualquer momento. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) documenta Vulnerabilidades e Exposições Comuns (CVEs) em seu Catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). A CISA aconselha todas as organizações a usarem o Catálogo KEV como "um insumo para o seu framework de priorização de gestão de vulnerabilidades". Existem 276 CVEs da Microsoft listadas no catálogo KEV e mais de 170 remediações de CVEs no Guia de Atualização de Segurança da Microsoft. Não podemos ter certeza de quantos CVEs da Microsoft ainda permanecem sem correção, mas sabemos que esses sistemas não corrigidos representam ameaças credíveis nos Estados Unidos (EUA) e em outros países. Aqui estão alguns exemplos:

EternalBlue (CVE-2017-0144): A infame exploração da NSA da vulnerabilidade SMB do Windows permitiu um ataque cibernético global massivo em 2017. A Microsoft corrigiu a vulnerabilidade há anos, mas centenas de milhares de sistemas continuam vulneráveis.

BlueKeep (CVE-2023-29357): Os atacantes enviam pacotes maliciosos para versões vulneráveis do Remote Desktop Protocol (RDP). O ataque permite que intrusos “adicionem contas com direitos de utilizador completos; visualizar, alterar ou eliminar dados; ou instalar programas.” A Microsoft lançou uma correção de segurança para esta vulnerabilidade em maio de 2019. O painel Shodan para os EUA mostra milhares de máquinas conectadas à internet ainda vulneráveis a este ataque.

Servidores Exchange em Fim de Vida Útil (Múltiplas CVEs): Servidores Exchange locais estão frequentemente na mesma máquina que o armazenamento de ficheiros, servidores de impressão e, talvez, o Active Directory. Estas máquinas podem estar a atuar como servidores Exchange, ou podem ser antigos servidores Exchange que não foram devidamente retirados de serviço. Este pode ser o caso de antigos Servidores de Pequenas Empresas que ainda estão a ser usados para armazenamento local e nada mais. Investigadores de segurança da Barracuda recentemente identificaram estes servidores Exchange desatualizados como ameaças críticas com múltiplas vulnerabilidades.

Escalada de Privilégios no SharePoint Server Vulnerabilidade (CVE-2023-29357): A Microsoft corrigiu esta vulnerabilidade em junho de 2023. Não se sabe quantos sistemas ainda estão vulneráveis, mas a 10 de janeiro de 2024, a CISA publicou um aviso sobre exploração ativa, e as agências dos EUA devem remediar a exposição até 31 de janeiro de 2024. NIST tem detalhes técnicos aqui e a documentação do pesquisador está aqui.

Log4Shell / Log4J (CVE-2021-44228): Log4J é uma biblioteca de registo que não é propriedade da Microsoft, mas é utilizada em muitas aplicações de terceiros que podem estar a ser executadas em sistemas Microsoft. Esta vulnerabilidade permite que um ator de ameaça obtenha acesso não autenticado a sistemas e execute instruções remotas. A Microsoft removeu o uso do log4j2 nos Serviços de Integração do SQL Server 2019 (SSIS) com esta atualização em abril de 2022 e mitigou o problema nas edições Java de aplicações como o Microsoft Minecraft. O Microsoft Defender pode ser usado para detetar e remediar vulnerabilidades do Log4J nos seus dispositivos.

Bypass de segurança do sAMAccountName (CVE-2021-42278): Este ataque ao Microsoft Active Directory utiliza uma funcionalidade que permite que não administradores adicionem computadores ao domínio. Esta funcionalidade facilitou a vida em ambientes que queriam permitir que utilizadores da rede adicionassem PCs à rede e realizassem tarefas básicas de configuração. A Microsoft emitiu um patch e instruções de mitigação em novembro de 2021.

Estas são apenas algumas das antigas vulnerabilidades que ainda estão a ser exploradas. Existem muitas, e muitos sistemas legados simplesmente não podem ser atualizados ou substituídos sem interrupções nos negócios.

Nem todo o ouro é velho.

Não são apenas os sistemas mais antigos e vulnerabilidades que estão abertos a ataques. Os Microsoft SQL Servers estão atualmente a ser alvo de um ataque que utiliza o procedimento xp_cmdshell para descarregar cargas de malware e ransomware e mover-se lateralmente por toda a rede para aceder a controladores de domínio e outros sistemas. O Xp_cmdshell é uma função legítima que permite a execução de comandos de shell do Windows a partir do ambiente do SQL Server. Este procedimento está desativado por padrão e deve ser ativado apenas para uso específico. Este ataque baseia-se numa configuração inadequada e demonstra a importância de compreender um componente antes de alterar o seu estado padrão. Detalhes completos sobre este ataque MSSQL estão aqui.

Este NT Lan Manager (NTLM) ataque de autenticação forçada explora uma funcionalidade legítima no Microsoft Access. Tal como as ameaças do SQL Server e do Active Directory mencionadas acima, este ataque não é totalmente evitado por uma correção. O princípio do menor privilégio, segurança de confiança zero, defesas proativas (caça a ameaças), e outras melhores práticas têm de ser incluídas no seu plano de segurança.

Se um agente de ameaça obtiver acesso aos seus sistemas, ele pode usar estratégias pós-infeção para explorar o que encontrar na rede. Aqui está um esboço de segurança muito básico:

  1. Certifique-se de que o atacante não entre.
  2. Certifique-se de que o atacante é notado assim que entrar.
  3. Retire o atacante de lá o mais rapidamente possível.
  4. Limpe a sua confusão.
  5. Certifique-se de que ele não consiga entrar dessa forma novamente.

Isso obviamente não é abrangente, mas ilustra o ponto-chave, que é o fato de que, uma vez que chegue ao segundo passo, está na fase pós-infeção. É aqui que a segmentação de rede, o princípio do menor privilégio e as configurações seguras irão reduzir o impacto. Se tiver um XDR e SOC-as-a-Service em funcionamento, então a sua posição pós-infeção é significativamente melhorada.

E agora?

À medida que terminamos, voltamos ao início. Qual é a dimensão da sua superfície de ataque Microsoft? Quanto Microsoft está a defender?

Se quer proteger algo, deve começar por saber que ele existe. Deve atualizar os seus inventários, aplicar os seus padrões de computação e cibersegurança e eliminar a TI sombra e desonesta. Alguns projetos demorarão mais do que outros. Atualizar sistemas legados não é um trabalho "rápido e fácil". Mesmo algo tão simples como reduzir permissões ao mínimo necessário pode tornar-se um projeto que requer o apoio das partes interessadas.

Provavelmente tem em funcionamento um sistema de gestão de patches. Não precisa ser sofisticado, apenas tem de garantir que tudo está atualizado quando deve ser. A Microsoft emite atualizações e informações de mitigação regularmente, por isso certifique-se de que se mantém informado.

Uma das coisas mais inteligentes a fazer é implementar uma solução como Barracuda Managed XDR. Esta é uma das maneiras mais fáceis e económicas de implementar segurança proativa em cada vetor de ameaça. O Centro de Operações de Segurança (SOC) global da Barracuda fornece cobertura 24x7x365 por analistas de segurança com as informações de ameaças mais atualizadas. Estas são as pessoas que estão constantemente à procura de anomalias e comportamentos semelhantes a ameaças nos seus sistemas.

Visite o nosso website para mais informações sobre Barracuda Managed XDR, e consulte este blog para os detalhes geeky sobre como o SOC da Barracuda passou as primeiras 24 horas após o alerta inicial do Log4J.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
System shock: Storm-0501 ransomware shifts into the cloud
System shock: Storm-0501 ransomware shifts into the cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
 September webinars: Battling ATO attacks and optimizing endpoint protection with XDR
September webinars: Battling ATO attacks and optimizing endpoint protection with XDR
 August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.