Uber: Lapsus$ teve como alvo Contratado Externo com MFA Bombing Attack

Uber: Lapsus$ teve como alvo Contratado Externo com MFA Bombing Attack.  Uber diz que um membro do notório grupo de hackers Lapsus$ iniciou o ataque comprometendo as credenciais de um contratado externo. 

A Uber atribuiu a violação massiva da semana passada no Uber ao notório grupo de hackers Lapsus$ e divulgou detalhes adicionais sobre o ataque. Os pesquisadores dizem que o incidente destacou os riscos que podem advir de confiar demais na autenticação multifator (MFA), bem como o risco não gerenciado em torno da adoção de serviços em nuvem.

A Uber diz que “Acreditamos que esse invasor (ou invasores) seja afiliado a um grupo de hackers chamado Lapsus$ , que tem estado cada vez mais ativo no último ano“. O anúncio da Uber apontou para outras empresas que foram alvo da notória gangue por meio de técnicas semelhantes, incluindo Cisco, Microsoft, Nvidia, Okta e Samsung,

A Lapsus$ atraiu atenção considerável nos últimos meses por seus ataques a algumas das maiores e mais conhecidas empresas do mundo. Uma tática bem conhecida que o grupo é conhecido por usar é cooptar ferramentas de contornar MFA em sua cadeia de ataque.

E, de fato, o Uber disse que o invasor que  violou sua rede na semana passada obteve primeiro as credenciais de VPN de um contratado externo , provavelmente comprando-as na Dark Web. O invasor tentou repetidamente fazer login na conta Uber usando as credenciais obtidas ilegalmente, emitindo uma solicitação de aprovação de login de dois fatores a cada vez. 

Depois que o contratado bloqueou inicialmente essas solicitações, o invasor entrou em contato com o alvo no WhatsApp se passando por suporte técnico, dizendo à pessoa para aceitar o prompt do MFA – permitindo assim que o invasor fizesse login.

A violação do Uber parece ser resultado de um ataque de fadiga MFA, também conhecido como ataque de bombardeio MFA (MFA Bombing Attack)”, diz Duncan Greatwood, CEO da Xage. “É uma técnica na qual os hackers enviam várias solicitações de aprovação de autenticação para um dispositivo secundário, como um telefone celular, na esperança de que um usuário forneça acesso involuntariamente ou fique tão frustrado que eventualmente aprove uma solicitação”. 

Início do processo de correção

Uma vez dentro, o invasor violou vários sistemas internos , e o Uber está atualmente no processo de fazer uma análise de impacto, a empresa disse: “O invasor acessou várias outras contas de funcionários, o que acabou dando ao invasor permissões elevadas para várias ferramentas, incluindo G-Suite e Slack.”

A empresa disse que o invasor não parece ter feito nenhuma alteração em sua base de código, nem parece ter acesso a quaisquer dados de clientes ou usuários armazenados por provedores de nuvem. O invasor parece ter baixado algumas mensagens internas do Slack e acessado ou baixado uma ferramenta interna que a equipe financeira da Uber usa para gerenciar faturas. Embora o invasor também tenha acessado um banco de dados de divulgações de vulnerabilidades em sua plataforma enviada por pesquisadores externos por meio do programa de recompensas de bugs HackerOne, todos os bugs foram corrigidos, disse a Uber.

“equívoco muito comum é que as formas padrão de MFA – como push, touch e mobile – protegem contra engenharia social”

A violação mostra as fraquezas do MFA

Greatwood descreve os ataques de fadiga de MFA como sendo uma tática muito eficaz para violar organizações-alvo. Ele diz que sua empresa observou invasores normalmente enviando solicitações de MFA frequentes no meio da noite ou enviando solicitações menos frequentes ao longo de alguns dias. 

De qualquer forma, nas arquiteturas tradicionais de MFA, basta apenas uma solicitação aprovada para um hacker acessar sistemas internos, a partir dos quais eles podem se infiltrar ainda mais na organização-alvo“, diz ele.

As práticas de segurança da Uber certamente serão examinadas por causa da violação. Mas a realidade é que a empresa foi vítima de práticas comuns a muitas organizações, observam os pesquisadores.

Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security, diz que o ataque do Uber destaca um equívoco fundamental sobre a força do MFA como método para proteger o acesso. 

Embora a MFA adicione uma segunda camada crítica de segurança às suas contas, o maior equívoco sobre a MFA é que todos os formulários são igualmente seguros“, diz ele.

Um exemplo de como a MFA pode falhar é a portabilidade do cartão SIM, também conhecida como troca de SIM , observa Tiquet. É aqui que os invasores transferem um número de celular para um cartão SIM ou dispositivo que eles controlam para receber mensagens SMS ou chamadas telefônicas para o número de destino. 

O uso de mensagens de texto SMS como MFA deve ser desencorajado e nunca usado como MFA para ativos de alto valor“, diz Tiquet. “O uso de um aplicativo autenticador, chave de segurança ou biometria são métodos mais fortes e eficazes para proteger suas contas.” 

O pesquisador de segurança Bill Demirkapi explica que outro equívoco muito comum é que as formas padrão de MFA – como push, touch e mobile – protegem contra engenharia social. A realidade é que a MFA continua vulnerável a ataques man-in-the-middle (MitM), diz ele.

Ele observa que as melhores práticas incluem o uso de formas de MFA resistentes a phishing e MiTM em vez de senhas de uso único baseadas em tempo (TOTP), não centralizar as chaves de acesso e alternar as chaves regularmente. Sobre este último ponto, as organizações também geralmente não limitam as chaves de acesso aos privilégios mínimos necessários para a finalidade pretendida da chave. 

A Uber pode não ter seguido as melhores práticas, mas muitas outras empresas também não“, diz ele. “O ponto principal que gostaria de enfatizar é a importância de não apenas investir em segurança para sua organização, mas também investir especificamente nessas práticas recomendadas.

Deve-se notar que a violação do Uber não é o único hit de alto perfil nos últimos dias; o mesmo hacker Lapsus$ que reivindicou a responsabilidade nesse incidente (ou pelo menos alguém usando o mesmo apelido “Teapot” que o hacker Uber usou) agora parece também ter violado a Rockstar Games da Take-Two Interactive , postando vídeos de uma cópia de desenvolvimento inicial do videogame Grand Theft Auto 6. Em uma mensagem, a empresa reconheceu a violação e disse que estava “extremamente decepcionada” por ter vazado detalhes do jogo antes de seu lançamento.

A adoção do serviço em nuvem aumenta o risco 

A MFA não é o único elo fraco para muitas empresas. Em um nível mais alto, violações como a da Uber mostram o impacto que a adoção rápida de serviços em nuvem e os modelos de trabalho distribuído estão causando nas estratégias de segurança corporativa, diz Russell Spitler, cofundador e CEO da Nudge Security. 

A mudança para um modelo mais distribuído aumentou a dependência das empresas de ferramentas de comunicação assíncrona, como Slack e WhatsApp, em ambientes críticos para os negócios, diz ele. A rápida adoção do SaaS criou um risco não gerenciado na forma de integrações complexas entre serviços mal gerenciados.

A recente violação na Uber aponta para o fato de que as organizações de segurança são superadas pela complexidade dos ambientes de TI modernos e distribuídos e pelas extensas cadeias de suprimentos digitais”, observa Spitler. “Essa complexidade cria oportunidades para até mesmo os mais novatos dos agentes de ameaças obterem acesso usando credenciais comprometidas e [encontrando] o caminho para ativos críticos.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!