U januaru 2024, Microsoft je otkrio da su bili žrtve hakovanja koji su organizovali ruski državni hakeri Midnight Blizzard (ponekad poznat kao Nobelium). Zabrinjavajući detalj ovog slučaja je koliko je bilo lako provaliti softverskog giganta. Nije to bio visoko tehnički hak koji je iskoristio ranjivost nultog dana – hakeri su koristili jednostavan password spray napad kako bi preuzeli kontrolu nad starim, neaktivnim nalogom. Ovo služi kao oštar podsjetnik na važnost sigurnosti lozinke i zašto organizacije moraju zaštititi svaki korisnički nalog.
Password spraying: Jednostavan, ali efikasan napad
Hakeri su ušli koristeći password spraying napad u novembru 2023. godine. Password spraying je relativno jednostavna tehnika grube sile koja uključuje isprobavanje iste lozinke na više naloga. Bombardujući korisničke naloge poznatim slabim i kompromitovanim lozinkama, napadači su uspeli da dobiju pristup zastarjelom neprodukcionom test nalogu u okviru Microsoft sistema koji im je omogućio početno uporište u okruženju. Ovaj nalog je ili imao neobične privilegije ili su ih hakeri eskalirali.
Napad je trajao čak sedam sedmica, tokom kojih su hakeri eksfiltrirali mejlove i priložena dokumenta. Ovi podaci su ugrozili ‘vrlo mali postotak’ korporativnih naloga e-pošte, uključujući i one koji pripadaju višem rukovodstvu i zaposlenima u timovima za sajber sigurnost i pravne poslove. Microsoftov sigurnosni tim otkrio je hakovanje 12. januara i odmah je preduzeo mjere da omete aktivnosti hakera i uskrati im dalji pristup.
Međutim, činjenica da su hakeri mogli pristupiti tako osjetljivim internim informacijama naglašava potencijalnu štetu koja može biti uzrokovana kompromitacijom čak i naizgled beznačajnih naloga. Sve što je potrebno napadačima je početno uporište unutar vaše organizacije.
Važnost zaštite svih naloga
Iako organizacije često daju prioritet zaštiti privilegovanih naloga, napad na Microsoft pokazuje da je svaki korisnički nalog potencijalna ulazna tačka za napadače. Eskalacija privilegija znači da napadači mogu postići svoje ciljeve bez nužne potrebe za visoko privilegovanim administratorskim nalogom kao ulaznom tačkom.
Zaštita neaktivnog naloga s niskim privilegijama jednako je ključna kao i zaštita administratorskog naloga s visokim privilegijama iz nekoliko razloga. Prvo, napadači često ciljaju ove zanemarene naloge kao potencijalne ulazne tačke u mrežu. Vjerovatnije je da će neaktivni nalozi imati slabe ili zastarjele lozinke, što ih čini lakšom metom za napade grubom silom. Jednom kompromitovani, napadači mogu koristiti ove naloge za bočno kretanje unutar mreže, povećavajući svoje privilegije i pristupajući osjetljivim informacijama.
Drugo, neaktivni nalozi se često zanemaruju u smislu sigurnosnih mjera, što ih čini privlačnim metama za hakere. Organizacije mogu previdjeti implementaciju jakih politika lozinki ili višefaktorske provjere autentičnosti za ove naloge, ostavljajući ih ranjivim na eksploataciju. Iz perspektive napadača, čak i nalozi sa niskim privilegijama mogu pružiti vrijedan pristup određenim sistemima ili podacima unutar organizacije.
Zaštitite se od password spray napada
Microsoft-ov hak služi kao poziv na buđenje organizacijama da daju prioritet sigurnosti svakog korisničkog naloga. Ističe kritičnu potrebu za robusnim mjerama zaštite lozinkom na svim nalozima, bez obzira na njihov percipirani značaj. Implementacijom jakih politika lozinki, omogućavanjem višefaktorske autentikacije, provođenjem redovnih revizija Active Directory-a i stalnim skeniranjem u potrazi za ugroženim lozinkama, organizacije mogu značajno smanjiti rizik da budu uhvaćene na isti način.
- Revizija Active Directory-a: Sprovođenje redovnih revizija Active Directory-a može pružiti uvid u neiskorištene i neaktivne naloge, kao i druge ranjivosti vezane za lozinke. Revizije pružaju vrijedan snimak vašeg Active Directory-a, ali ih uvijek treba dopuniti stalnim naporima za smanjenje rizika.
- Robusne politike lozinki: Organizacije bi trebale provoditi jake politike lozinki koje blokiraju slabe lozinke, kao što su uobičajeni izrazi ili hodanje po tipkovnici poput ‘qwerty’ ili ‘123456’. Implementacija dugih, jedinstvenih lozinki ili pristupnih fraza je snažna odbrana od napada grubom silom. Prilagođeni rječnici koji blokiraju termine koji se odnose na organizaciju i industriju također bi trebali biti uključeni.
- Višefaktorska autentikacija (MFA): Omogućavanje MFA dodaje prepreku za provjeru autentičnosti koju hakeri moraju prevladati. MFA služi kao važan sloj odbrane, iako je vrijedno zapamtiti da MFA nije neprobojan. Treba ga kombinovati sa jakom sigurnošću lozinke.
- Skeniranje kompromitovanih lozinki: Čak i jake lozinke mogu postati ugrožene ako ih krajnji korisnici ponovo koriste na ličnim uređajima, web lokacijama ili aplikacijama sa slabom sigurnošću. Implementacija alata za stalno skeniranje vašeg Active Directory-a u potrazi za kompromitovanim lozinkama može pomoći u identifikaciji i ublažavanju potencijalnih rizika.
Kontinuirano zatvarati rute napada za hakere
Microsoft-ov hak naglašava potrebu da organizacije implementiraju robusne mjere zaštite lozinkom na svim računima. Politika sigurne lozinke je neophodna, osiguravajući da se svi nalozi, uključujući naslijeđene, neproizvodne i testne naloge, ne previde. Dodatno, blokiranje poznatih kompromitovanih kredencijala dodaje dodatni sloj zaštite od aktivnih napada.
Izvor: The Hacker News