Serviços de sincronização de arquivos em nuvem, usados para acomodar empregados remotos dentro de organizações, podem também ser alvos fáceis para ataques cibercriminosos.
Pesquisadores de segurança da empresa Imperva identificaram que hackers podem facilmente sequestrar contas por meio de serviços como Dropbox, Google Drive, Microsoft OneDrive e Box se eles ganharem acesso a computadores onde tais programas rodam – e para isso eles nem precisam roubar logins e senhas.
Uma vez que as contas são sequestradas, invasores podem usá-la para roubar dados armazenados e controlar remotamente computadores comprometidos sem usar qualquer programa malware que poderia ser detectado por antivírus ou produtos de segurança.
Os pesquisadores descobriram que todas as aplicações observadas fornecem acesso contínuo para o serviço de armazenamento em nuvem, via tokens que são gerados depois que usuários fizerem o log in pela primeira vez.
Esses tokens são armazenados em arquivos especiais de usuários, no registro do Windows ou no Credential Manager do Windows, dependendo de qual aplicação.
Os pesquisadores desenvolveram uma simples ferramenta que apelidaram de Switcher, cujo papel é realizar o que eles chamam de ataque "duplo de interruptor".
O Switcher pode ser implantado no sistema através de um anexo malicioso em um e-mail ou ainda em um drive-by que leva vantagem na vulnerabilidade de um plug-in para browser. Se um exploit for usado, o programa não precisa nem mesmo ser escrito para discar. Ele pode ser carregado diretamente na memória do computador e não precisa de altos privilégios para executar sua rotina.
Primeiro, o Switcher faz uma cópia do token de acesso do usuário para os aplicativos de sincronização e substitui com uma conta correspondente que será usada pelo atacante. Depois, ele reinicia a aplicação de forma que sincronizará com a conta do invasor.
A conta original do usuário é copiada para um arquivo sincronizado para que o invasor receba uma cópia e depois o aplicativo Switcher a restaurará novamente, forçando o app a ser incorporado a conta real do usuário – daí o nome “switch duplo”.
Entretanto, desde que o invasor tenha uma cópia do acesso ao token do usuário, ele poderá usar o Switcher em seu próprio computador e sincronizá-lo com a conta real do usuário, recebendo uma cópia de todos os arquivos armazenados ali.
O ataque ainda pode ser levado a outro nível uma vez que o Switcher consegue criar uma agenda de tarefas ou um evento no Windows Management Instrumentation (WMI), que seria desencadeado quando um arquivo específico aparecesse em uma pasta sincronizada. O arquivo poderia ser criado por um invasor e poderia conter comandos para serem executados por uma tarefa agendada.
Esse mecanismo daria ao invasor acesso remoto e persistente ao computador, mesmo depois que o Switcher for deletado ou removido de sua memória. Depois de executar um comando, o invasor poderia deletá-lo, assim como desencadear um arquivo de forma que consiga esconder seus rastros.
De acordo com Amichai Shulman, CTO da Imperva, esses ataques contra ferramentas de sincronização de arquivos seriam muito difíceis de serem detectados por programas de antivírus, uma vez que o Switcher não está realizando nenhuma atividade incomum que poderia ser interpretada como um comportamento malware.
O programa é feito apenas com algumas linhas de código que leem e escrevem para arquivos e registram chaves que outras aplicações modificam, explica. O gerenciador de tarefas do Windows não é incomum também, uma vez que uma série de aplicações criam tarefas no WMI por várias razões.
For a isso, o Switcher não precisa nem mesmo ser armazenado no disco e poderia remover a si mesmo depois de estabelecer as condições para o ataque.
Produtos de segurança operando no perímetro da rede não seriam capazes de bloquear o tráfego, já que ele é criptografado por padrão e é gerado por aplicativos de sincronização de arquivos legítimos.
Até agora nenhum dos serviços testados notificam usuários que suas contas foram acessadas a partir de uma nova localização como alguns sites o fazem.
Alguns deles permitem que usuários visualizem atividades recentes de suas contas que poderiam revelar acesso não autorizado ou um endereço IP, mas eles não alertam usuários via e-mail quando isso acontece, de acordo com os pesquisadores do Imperva.
A única saída para recuperar-se dessas situações seria deletar a conta e criar uma nova, indicam os pesquisadores em um relatório divulgado na conferência de segurança Black Hat.
Invasores já mostraram interesse em invadir serviços de nuvem verificados ou sites de redes sociais, ambas para extrair dados e para comando e controle.
Talvez alguns dos provedores de serviço de armazenamento de nuvem aperfeiçoem as ferramentas no futuro, mas isso não muda a questão: tudo aquilo que for útil para usuários também o será para cibercriminosos, disse Shulman.
Invasores eventualmente encontram uma forma para comprometer sistemas endpoint, mas na maioria das vezes o objetivo é usá-las como uma plataforma de lançamento para ataques contra base de dados e servidores de organizações, onde informações interessantes estão armazenadas. Por conta disso, é importante para companhias monitorar e ter controle rígido aos dados.
Via: IDGNow
Nenhum comentário:
Postar um comentário