Por que as cadeias de exploração “fora de controle” são perigosas

Uma ‘cadeia de exploração’ é um ataque cibernético que infringe um alvo ao vincular várias vulnerabilidades, também chamada de ‘cadeia de vulnerabilidade’. Um atacante cibernético pode ter um impacto maior no alvo ao conduzir um ataque em cadeia de exploração do que ao focar em um único ponto de ataque e pode aumentar a probabilidade de um ataque bem-sucedido.
Ⓒ Banco de Imagens Getty

De acordo com Steve Turner, analista da Forrester, o objetivo de um ataque em cadeia de exploração é obter acesso em nível de kernel / raiz / sistema para executar o ataque. A cadeia de exploração ajuda os invasores a invadir o ambiente interno de uma empresa, explorando vulnerabilidades nos processos normais do sistema para que possam escalar privilégios, contornando várias defesas. Os ataques em cadeia de exploração geralmente exigem mais tempo e esforço do que outros ataques cibernéticos e exigem um nível mais alto de especialização. No entanto, ao agrupar várias explorações, é possível conduzir um ataque de difícil recuperação, dependendo da idade e da complexidade da vulnerabilidade.


Riscos da cadeia de exploit

Os ataques em cadeia de exploração progridem com relativa rapidez e poucas empresas têm táticas, procedimentos ou ferramentas para deter ou conter a ameaça para responder de forma adequada. Portanto, a cadeia de exploit representa um grande risco para a empresa.

“As equipes de segurança de TI estão sob grande pressão de ataques em cadeia de exploração e do fato de que quase todos os ataques cibernéticos exploram vulnerabilidades conhecidas, mas não atenuadas”, disse Ortal Kidsman, líder da equipe de pesquisa da empresa de segurança cibernética Vulcan Cyber. O gerenciamento de vulnerabilidades hoje é um ‘jogo intermediário’ para as equipes de segurança de TI. “Mais de 56% das organizações não têm a capacidade de abordar vulnerabilidades na velocidade e no nível que protegerão seus negócios.”

De acordo com Kidsman, a maioria dos líderes de segurança cibernética refere-se à lista de vulnerabilidades divulgada pelo NIST e explora vulnerabilidades identificadas pelo CISA. É um fato inconveniente, mas significa que não entendemos com precisão a postura de risco de uma empresa. “Se você não pode avaliar o risco, não pode mitigá-lo”, diz Kidsman. “Mesmo definir prioridades de risco não tem sentido se não corresponder ao nível de tolerância ao risco de cada empresa ou unidade de negócios.”


Explorar casos e cenários de cadeia

Vamos aprender como atacar por meio de exemplos e cenários do mundo real de ataques em cadeia de exploração que ocorreram ou têm grande probabilidade de ocorrer.

1. Ataque SolarWinds
De acordo com Kidsman, o hack SolarWinds é um exemplo típico de um ataque em cadeia de exploração. Era um ataque que não poderia ser defendido corrigindo uma única vulnerabilidade ou criando uma porta dos fundos da cadeia de suprimentos segura. “Os hackers exploraram vulnerabilidades em código aberto e proprietário”, disse Kidsman. Primeiro, atacamos uma vulnerabilidade de camada chave na cadeia de suprimentos de software e desenvolvemos uma Ameaça Persistente Avançada (APT) que eleva os privilégios de acesso remoto e privilégios dentro de redes privadas. ”

Depois que o backdoor da cadeia de fornecimento de software da SolarWinds foi divulgado, os invasores usaram uma exploração de ‘prova de conceito’ para comprometer um sistema central usando uma série de vulnerabilidades conhecidas que ainda não foram mitigadas por vários motivos.

2. Explorar cadeias direcionadas a dispositivos móveis
John Bambnec, analista-chefe de ameaças da empresa de segurança Netenrich, acredita que os ataques em cadeia de exploração são mais propensos a visar dispositivos móveis. Bambneck explicou: “Devido à natureza da arquitetura do smartphone, o malware móvel precisa obter acesso à raiz explorando várias vulnerabilidades para funcionar corretamente”.

Um exemplo disso pode ser encontrado em um relatório divulgado pela empresa de segurança Lookout. Este é um caso de uso de ferramentas de monitoramento Android por vários anos na China, visando os uigures. “As cadeias de exploração têm como alvo dispositivos de computação tradicionais, onde existem lacunas no comportamento humano e na forma como o dispositivo é usado”, explica Backbnec. Por exemplo, muitos atacantes de ransomware movem-se lateralmente ou usam o PowerShell depois de invadir o perímetro do dispositivo de destino, o que requer elevação de privilégio usando outras explorações.

3. Explorar cadeias que visam navegadores
De acordo com Tyler Reguli, uma equipe de pesquisa de vulnerabilidade da empresa de segurança Tripwire, os ciberataques convencem os usuários a visitar páginas da web com e-mails de phishing e explorar vulnerabilidades do navegador com ‘drive by download’. Depois disso, amarre a segunda vulnerabilidade para escapar da caixa de areia e ganhar privilégios elevados.

Um invasor que obtém privilégios elevados se infiltra em várias partes da rede e tenta explorar vulnerabilidades para entrar em um sistema específico. Reguli disse: “Quando penso na cadeia de exploit, a cena no sitcom Friends em que Ross grita repetidamente ‘Pivot!’ vem à mente. Os invasores usam a cadeia de exploração para criar um pivô e, em seguida, percorrer o sistema e a rede. Os invasores desejam que vários exploits no navegador da vítima funcionem melhor juntos. Dependendo das defesas da empresa, ela pode não funcionar em conjunto de forma sistemática e pode ter sucesso. ”


Exploit Toolkit usado por atacantes ransomware

As cadeias de exploração estão cada vez mais sendo usadas em kits de ferramentas de exploração comercial usados ​​por grupos de ataque de ransomware ou hackers. “Dois exemplos são típicos”, disse Turner. Há uma ‘cadeia de exploração de clique zero’ que pode ser executada sem que um invasor execute qualquer ação, e ‘ProxyLogon’ é um ‘ProxyLogon’ que pode obter acesso de administrador atacando várias vulnerabilidades com o objetivo de realizar a ação desejada por um invasor. ”Explicou.

Os dois métodos são ferramentas frequentemente usadas por grupos de ataque de ransomware para vazar dados e obter rapidamente uma base para ataques de ransomware. “Esperamos que muitos invasores explorem vulnerabilidades RCE conhecidas, como a vulnerabilidade Log4j, no futuro”, disse Turner. Especificamente, criaremos um kit de ferramentas de exploração que combina várias vulnerabilidades para obter rapidamente o acesso de nível de sistema / kernel desejado. ”


Como evitar ataques em cadeia de exploração

Uma coisa a ter em mente para mitigar o risco de um ataque em cadeia de exploração é que é possível quebrar todos os links da cadeia. “Mesmo que algum dano já tenha ocorrido, quebrar o link pode evitar mais danos,” explica Reguli. Em outras palavras, com um programa de segurança cibernética robusto e maduro, se você tiver as técnicas, tecnologia e recursos humanos que podem quebrar todos os elos da cadeia, você pode defender e mitigar todos os ataques tanto quanto possível.

“Se uma empresa não pode usar esse método, então a próxima melhor coisa a fazer é pensar sobre onde parar o ataque em termos de cadeia de destruição cibernética”, acrescentou Reguli. Bambneck concorda com isso e avisa: “O ataque em cadeia de exploração pode parecer aterrorizante conceitualmente, mas se houver algo que possa ser detectado, seja a cadeia de exploração ou o comportamento do invasor, o problema pode ser identificado e resolvido.”

Acima de tudo, para responder à cadeia de exploração, é necessária a cooperação entre a comunidade de código aberto e as empresas de software proprietário. “O código-fonte aberto tem sido e continuará sendo uma grande ajuda no desenvolvimento de software”, disse Kidsman. Agora é a hora de a comunidade de desenvolvimento de software comercial e de código aberto trabalharem em conjunto. ”

Além disso, os CISOs devem praticar a higiene cibernética holística e baseada em riscos, em vez de abordar cegamente as vulnerabilidades à medida que surgem. “As empresas precisam desenvolver uma estratégia para responder aos ataques em cadeia de exploração antes que seja tarde demais e priorizá-los de acordo com as necessidades de seus negócios específicos”, enfatiza Kiesman. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!