20 ene. 2021

Informe y herramientas para detectar incidente de SolarWinds

La firma de ciberseguridad FireEye ha publicado un informe que detalla las técnicas utilizadas por los delincuentes informáticos de SolarWinds dentro de las redes de las empresas que violaron. Este informe se produce cuando la firma de seguridad ha encabezado las investigaciones sobre el compromiso de la cadena de suministro de SolarWinds, junto con Microsoft y CrowdStrike.

Junto con el informe, los investigadores de FireEye también han lanzado una herramienta gratuita en GitHub llamada Azure AD Investigator que, según dicen, puede ayudar a las empresas a determinar si los delincuentes informáticos de SolarWinds (también conocidos como UNC2452) utilizaron alguna de estas técnicas dentro de sus redes.

El hack de SolarWinds salió a la luz el 13 de diciembre de 2020, cuando FireEye y Microsoft confirmaron que un actor de amenazas irrumpió en la red del proveedor de software de TI SolarWinds y envenenó las actualizaciones de la aplicación Orion con malware.

El malware, conocido como Sunburst (o Solorigate), se utilizó para recopilar información sobre las empresas infectadas. La mayoría de los 18.000 clientes de SolarWinds que instalaron una versión troyanizada de la aplicación Orion fueron ignorados, pero para algunos objetivos seleccionados, los delincuentes informáticos implementaron una segunda cepa de malware conocida como Teardrop y luego utilizaron varias técnicas para escalar el acceso dentro de la red local y al recursos en la nube de la empresa, con un enfoque especial en violar la infraestructura de Microsoft 365.

En su informe de 35 páginas de hoy, FireEye ha detallado con gran detalle y profundidad estas técnicas de compromiso posteriores al inicio, junto con las estrategias de detección, corrección y refuerzo que las empresas pueden aplicar.

Resumidos, son los siguientes:

  • Robar el certificado de firma de tokens de los Servicios de federación de Active Directory (AD FS) y usarlo para falsificar tokens para usuarios arbitrarios (a veces descrito como Golden SAML). Esto permitiría al atacante autenticarse en un proveedor de recursos federado (como Microsoft 365) como cualquier usuario, sin la necesidad de la contraseña de ese usuario o su mecanismo de autenticación multifactor (MFA) correspondiente.
  • Modificar o agregar dominios de confianza en Azure AD para agregar un nuevo proveedor de identidad (IdP) federado que controle el atacante. Esto permitiría al atacante falsificar tokens para usuarios arbitrarios y se ha descrito como una puerta trasera de Azure AD. Poner en peligro las credenciales de las cuentas de usuario locales que están sincronizadas con Microsoft 365 que tienen roles de directorio con altos privilegios, como Administrador global o Administrador de aplicaciones.
  • Capturar una aplicación existente de Microsoft 365 agregando una credencial falsa para usar los permisos legítimos asignados a la aplicación, como la capacidad de leer correo electrónico, enviar correo electrónico como un usuario arbitrario, acceder a calendarios de usuario, etc., sin pasar por MFA.

"Si bien UNC2452 ha demostrado un nivel de sofisticación y evasión, las técnicas observadas son detectables y defendibles", dijo hoy FireEye. De hecho, fue la capacidad de FireEye para detectar estas técnicas dentro de su propia red lo que llevó a la empresa a investigar una brecha interna y luego descubrir el incidente de SolarWinds.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) publicó otra herramienta llamada Sparrow.

El equipo de seguridad de Microsoft descubrió mientras investigaba el ataque a SolarWind, el pasado 15 de diciembre de 2020, varios intentos de lectura de correos electrónicos de CrowdStrike utilizando una cuenta comprometida de un revendedor de Microsoft Azure. Al parecer, el atacante usó una cuenta dedicada a la administración de licencias de Microsoft Office de CrowdStrike para realizar llamadas anormales a la API de Microsoft Cloud en una ventana de tiempo de 17 horas. Tras este incidente, la empresa decidió publicar CrowdStrike Reporting Tool para Azure (CRT), con objetivos similares de detección de actividad ilegal en redes comprometidas. 

Otra herramienta con propósito similar es SolarFlare de "Rob" Fuller.

Fuente: ZDnet

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!