Uma notícia nada animadora para os gestores de TI chegou elevando ainda mais o nível de preocupação com a segurança dos ambientes tecnológicos, os especialistas da inovadora startup de segurança em nuvem, Wiz, emitiram um importante alerta às organizações que utilizam a plataforma M365 da Microsoft. Conforme a pesquisa conduzida pela equipe da Wiz, uma chave de assinatura corporativa foi roubada do Microsoft Azure AD, o que deu aos hackers chineses acesso irrestrito a dados sensíveis, expondo e-mails tanto no Exchange Online quanto no Outlook.com.
Segundo pesquisador da Wiz, Shir Tamari, um documento público, a chave MSA comprometida possibilitou que os operadores de ameaças criassem tokens de acesso fraudulentos para diversos tipos de aplicativos do Azure Active Directory, incluindo aqueles que demandam autenticação de conta pessoal, tais como SharePoint, Teams e OneDrive.
Além disso, a situação pode ter sido ainda mais grave do que inicialmente estimada, pois a pesquisa revelou que os hackers também poderiam ter acessado aplicativos de clientes da Microsoft que utilizam a funcionalidade “login with Microsoft”, assim como aplicativos multi-inquilinos sob determinadas condições.
Após a identificação do ataque e da chave MSA roubada, a Microsoft divulgou que apenas o Outlook.com e o Exchange Online foram afetados pela falsificação de token. No entanto, a Wiz Research descobriu que a chave comprometida era ainda mais poderosa do que se imaginava, permitindo a falsificação de tokens para aplicativos como Azure Active Directory, SharePoint, Microsoft Teams e Microsoft OneDrive.
É crucial que as organizações que utilizam os serviços da Microsoft e do Azure avaliem o impacto potencial dessa violação, que vai além dos e-mails. Shir Tamari enfatiza a importância das medidas preventivas para proteger a integridade dos dados.
Essa pesquisa da Wiz surge após a notícia de que hackers chineses foram capturados falsificando tokens de autenticação usando a chave de assinatura corporativa roubada do Azure AD para invadir caixas de entrada do M365. O ataque resultou no roubo de e-mails de aproximadamente 25 organizações, e a situação tornou-se ainda mais problemática quando clientes afetados relataram falta de visibilidade para investigar o incidente, atribuindo essa limitação à ausência da licença E5/G5 de alto nível.
Diante da gravidade e repercussão a Microsoft atendeu ao clamor do público no início desta semana e anunciou que permitiria o acesso aos registros de segurança na nuvem, ampliando os padrões de log para clientes de nível inferior do M365, a fim de auxiliar nas investigações forenses após incidentes de segurança, algo que não poderia ser diferente, visto que sem visibilidade os clientes não poderiam calcular os riscos e brechas geradas pelo incidente.
Apesar dessa medida, Tamari, da Wiz, adverte que a detecção do uso de tokens forjados em aplicativos pode ser um desafio para os clientes, devido à ausência de registros em campos cruciais relacionados ao processo de verificação de token. Embora a Microsoft tenha revogado a chave comprometida, tornando os aplicativos do Azure Active Directory mais resistentes a tokens falsos, Tamari enfatiza que alguns problemas ainda persistem.
A equipe da Wiz enfatiza que as repercussões desse evento podem afetar a confiança na nuvem e em seus principais componentes de forma duradoura. Determinar a extensão completa do incidente é uma tarefa bastante complexa e desafiadora, levando a empresa a considerar a necessidade contínua de aprimorar as medidas de segurança e monitoramento na nuvem. Apesar de inúmeros indícios empresas e clientes das mesmas são sempre pegos de surpresa, o que não deveria acontecer, visto que diante da migração natural para serviços em nuvem, tal movimento também iria despertar o interesse dos criminosos e naturalmente brechas seriam exploradas, porém infelizmente as ações de segurança até então adotadas forem ineficientes ou insuficientes, mostrando cada vez mais a necessidade de aprimoramento mesmo em empresas gigantescas, uma lição amarga porém esperada.
A ACSoftware é distribuidora autorizada da ManageEngine no Brasil e pode oferecer soluções de segurança cibernética e gerenciamento de TI para empresas brasileiras que buscam fortalecer sua soberania digital, também possuímos serviços de consultoria e implantação de soluções de segurança da informação da ManageEngine , ajudando as empresas a desenvolver estratégias personalizadas de segurança cibernética que se adaptem às suas necessidades específicas.
