Microsoft revela el objetivo real del ciberataque de SolarWinds
La investigación de Microsoft sobre el ciberataque SolarWinds que acapara los titulares continúa, y sale a la luz más información sobre las intenciones de los atacantes.
El ataque, conocido como Solorigate por Microsoft (y Sunburst por la firma de ciberseguridad FireEye), reclamó numerosos objetivos de alto perfil, particularmente departamentos gubernamentales de EE. UU.
Microsoft revela el supuesto objetivo final de SolarWinds
Como si reclamar cueros cabelludos como el Tesoro de EE. UU. Y los Departamentos de Seguridad Nacional, Estado, Defensa, Energía y Comercio no fuera suficiente, un blog reciente de Microsoft Security indica que el objetivo real del ataque eran los activos de almacenamiento en la nube.
Los atacantes obtuvieron acceso a las redes objetivo mediante una actualización maliciosa de SolarWinds Orion. Habiendo comprometido SolarWinds e insertado archivos maliciosos en una actualización de software, los atacantes obtuvieron acceso completo a la red cuando se instaló la actualización.
Una vez dentro, los atacantes tienen "poco riesgo de ser detectados porque la aplicación firmada y los binarios son comunes y se consideran confiables".
Debido a que el riesgo de detección era tan bajo, los atacantes podían elegir sus objetivos. Con la puerta trasera instalada, los atacantes podrían tomarse su tiempo para averiguar el valor de continuar explorando la red, dejando las redes de "bajo valor" como una opción alternativa.
Microsoft cree que el motivo final de los atacantes fue utilizar "el acceso de puerta trasera para robar credenciales, escalar privilegios y moverse lateralmente para obtener la capacidad de crear tokens SAML válidos".
Los tokens SAML (Security Assertion Markup Language) son un tipo de clave de seguridad. Si los atacantes pudieran robar la clave de firma SAML (como una clave maestra), podrían crear y validar los tokens de seguridad que crean y luego usar esas claves autovalidadas para acceder a los servicios de almacenamiento en la nube y servidores de correo electrónico.
Con la capacidad de crear tokens SAML ilícitos, los atacantes pueden acceder a datos confidenciales sin tener que originarse en un dispositivo comprometido o estar confinados a la persistencia local. Al abusar del acceso a la API a través de las aplicaciones OAuth existentes o los principales de servicio, pueden intentar integrarse en el patrón normal de actividad, sobre todo las aplicaciones o los principales de servicio.
La NSA acuerda sobre el abuso de autenticación
A principios de diciembre de 2020, la Agencia de Seguridad Nacional publicó un Aviso de seguridad cibernética oficial [PDF] titulado "Detectar el abuso de los mecanismos de autenticación". El aviso corrobora en gran medida el análisis de Microsoft de que los atacantes querían robar tokens SAML para crear una nueva clave de firma.
Los actores aprovechan el acceso privilegiado en el entorno local para subvertir los mecanismos que utiliza la organización para otorgar acceso a la nube y los recursos locales y / o comprometer las credenciales de administrador con la capacidad de administrar los recursos de la nube.
Tanto el blog de seguridad de Microsoft como el aviso de ciberseguridad de la NSA contienen información sobre cómo reforzar la seguridad de la red para protegerse contra el ataque, así como cómo los administradores de red pueden detectar cualquier signo de infiltración.