🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As organizações normalmente implementam a autenticação multifator (MFA) e presumem que as senhas roubadas não são mais suficientes para acessar os sistemas. Em ambientes Windows, essa suposição geralmente está errada. Os invasores ainda comprometem redes todos os dias usando credenciais válidas. A questão não é a AMF em si, mas a cobertura.
Aplicada por meio de um provedor de identidade (IdP), como Microsoft Entra ID, Okta ou Google Workspace, a MFA funciona bem para aplicativos em nuvem e logins federados. Mas muitos logons do Windows dependem exclusivamente de caminhos de autenticação do Active Directory (AD) que nunca acionam prompts de MFA. Para reduzir o comprometimento baseado em credenciais, as equipes de segurança precisam entender onde a autenticação do Windows ocorre fora da pilha de identidades.
Sete caminhos de autenticação do Windows nos quais os invasores confiam
1. Logon interativo do Windows (local ou associado ao domínio)
Quando um usuário entra diretamente em uma estação de trabalho ou servidor Windows, a autenticação normalmente é feita pelo AD (via Kerberos ou NTLM), e não por um IdP na nuvem.
Em ambientes híbridos, mesmo que o Entra ID imponha MFA para aplicativos em nuvem, os logons tradicionais do Windows em sistemas associados ao domínio são validados por controladores de domínio locais. A menos que o Windows Hello for Business, cartões inteligentes ou outro mecanismo MFA integrado seja implementado, não há nenhum fator adicional nesse fluxo.
Se um invasor obtiver a senha de um usuário (ou hash NTLM), ele poderá se autenticar em uma máquina associada ao domínio sem acionar as políticas de MFA que protegem aplicativos de software como serviço ou logon único federado. Do ponto de vista do controlador de domínio, esta é uma solicitação de autenticação padrão.
Ferramentas como o Specops Secure Access são essenciais para limitar o risco de abuso de credenciais nesses cenários. Ao impor MFA para logon do Windows, bem como para conexões VPN e Remote Desktop Protocol (RDP), essa ferramenta torna mais difícil para invasores obterem acesso não autorizado à sua rede. Isso se estende até mesmo a logins offline, que são protegidos com autenticação de senha única.
Specops Acesso Seguro
2. Acesso RDP direto que ignora o acesso condicional
RDP é um dos métodos de acesso mais direcionados em ambientes Windows. Mesmo quando o RDP não está exposto à Internet, os invasores geralmente o alcançam por meio de movimentos laterais após o comprometimento inicial. Uma sessão RDP direta para um servidor não passa automaticamente pelos controles MFA baseados em nuvem, o que significa que o logon pode depender exclusivamente da credencial AD subjacente.
3. Autenticação NTLM
NTLM é um protocolo de autenticação legado que, apesar de ter sido descontinuado em favor do protocolo Kerberos, mais seguro, ainda existe por motivos de compatibilidade. Também é um vetor de ataque comum porque suporta técnicas como pass-the-hash.
Em ataques pass-the-hash, o invasor não precisa da senha em texto simples; em vez disso, eles usam o hash NTLM para autenticar. A MFA não ajuda se o sistema aceitar o hash como prova de identidade.
O NTLM também pode aparecer em fluxos de autenticação interna que as organizações podem não monitorar ativamente; apenas um incidente ou uma auditoria irá revelar isso às equipes de segurança.
4. Abuso de tíquetes Kerberos
Kerberos é o principal protocolo de autenticação para AD. Em vez de roubar senhas diretamente, os invasores roubam tickets Kerberos da memória ou geram tickets forjados após comprometer contas privilegiadas. Isso permite técnicas como:
Passe o ingresso
Bilhete Dourado
Bilhete Prata
Esses ataques permitem acesso e movimento lateral de longo prazo e também reduzem a necessidade de logons repetidos, o que diminui a chance de detecção. Esses ataques podem persistir mesmo após a redefinição de senha se o comprometimento subjacente não for totalmente resolvido.
5. Contas de administrador local e reutilização de credenciais
As organizações ainda dependem de contas de administradores locais para tarefas de suporte e recuperação do sistema. Se as senhas dos administradores locais forem reutilizadas nos endpoints, os invasores poderão transformar um comprometimento em acesso amplo.
As contas de administrador local geralmente são autenticadas diretamente no endpoint, ignorando totalmente os controles de MFA. As políticas de acesso condicional do Entra ID não se aplicam. Esse é um dos motivos pelos quais o despejo de credenciais permanece tão eficaz em ambientes Windows.
6. Autenticação e movimento lateral do Server Message Block (SMB)
SMB é usado para compartilhamento de arquivos e acesso remoto aos recursos do Windows. É também um dos caminhos de movimento lateral mais confiáveis, uma vez que um invasor tenha credenciais válidas. Os invasores geralmente usam SMB para acessar compartilhamentos administrativos, como C$, ou para interagir remotamente com sistemas usando credenciais válidas.
Se a autenticação SMB for tratada como tráfego interno, a MFA raramente será aplicada nesta camada. Se o invasor tiver credenciais válidas, ele poderá usar o SMB para se mover rapidamente entre sistemas.
7. Contas de serviço que nunca acionam MFA
Existem contas de serviço para executar tarefas agendadas, aplicativos, integrações e serviços do sistema. Eles geralmente têm estabilidade
Aplicada por meio de um provedor de identidade (IdP), como Microsoft Entra ID, Okta ou Google Workspace, a MFA funciona bem para aplicativos em nuvem e logins federados. Mas muitos logons do Windows dependem exclusivamente de caminhos de autenticação do Active Directory (AD) que nunca acionam prompts de MFA. Para reduzir o comprometimento baseado em credenciais, as equipes de segurança precisam entender onde a autenticação do Windows ocorre fora da pilha de identidades.
Sete caminhos de autenticação do Windows nos quais os invasores confiam
1. Logon interativo do Windows (local ou associado ao domínio)
Quando um usuário entra diretamente em uma estação de trabalho ou servidor Windows, a autenticação normalmente é feita pelo AD (via Kerberos ou NTLM), e não por um IdP na nuvem.
Em ambientes híbridos, mesmo que o Entra ID imponha MFA para aplicativos em nuvem, os logons tradicionais do Windows em sistemas associados ao domínio são validados por controladores de domínio locais. A menos que o Windows Hello for Business, cartões inteligentes ou outro mecanismo MFA integrado seja implementado, não há nenhum fator adicional nesse fluxo.
Se um invasor obtiver a senha de um usuário (ou hash NTLM), ele poderá se autenticar em uma máquina associada ao domínio sem acionar as políticas de MFA que protegem aplicativos de software como serviço ou logon único federado. Do ponto de vista do controlador de domínio, esta é uma solicitação de autenticação padrão.
Ferramentas como o Specops Secure Access são essenciais para limitar o risco de abuso de credenciais nesses cenários. Ao impor MFA para logon do Windows, bem como para conexões VPN e Remote Desktop Protocol (RDP), essa ferramenta torna mais difícil para invasores obterem acesso não autorizado à sua rede. Isso se estende até mesmo a logins offline, que são protegidos com autenticação de senha única.
Specops Acesso Seguro
2. Acesso RDP direto que ignora o acesso condicional
RDP é um dos métodos de acesso mais direcionados em ambientes Windows. Mesmo quando o RDP não está exposto à Internet, os invasores geralmente o alcançam por meio de movimentos laterais após o comprometimento inicial. Uma sessão RDP direta para um servidor não passa automaticamente pelos controles MFA baseados em nuvem, o que significa que o logon pode depender exclusivamente da credencial AD subjacente.
3. Autenticação NTLM
NTLM é um protocolo de autenticação legado que, apesar de ter sido descontinuado em favor do protocolo Kerberos, mais seguro, ainda existe por motivos de compatibilidade. Também é um vetor de ataque comum porque suporta técnicas como pass-the-hash.
Em ataques pass-the-hash, o invasor não precisa da senha em texto simples; em vez disso, eles usam o hash NTLM para autenticar. A MFA não ajuda se o sistema aceitar o hash como prova de identidade.
O NTLM também pode aparecer em fluxos de autenticação interna que as organizações podem não monitorar ativamente; apenas um incidente ou uma auditoria irá revelar isso às equipes de segurança.
4. Abuso de tíquetes Kerberos
Kerberos é o principal protocolo de autenticação para AD. Em vez de roubar senhas diretamente, os invasores roubam tickets Kerberos da memória ou geram tickets forjados após comprometer contas privilegiadas. Isso permite técnicas como:
Passe o ingresso
Bilhete Dourado
Bilhete Prata
Esses ataques permitem acesso e movimento lateral de longo prazo e também reduzem a necessidade de logons repetidos, o que diminui a chance de detecção. Esses ataques podem persistir mesmo após a redefinição de senha se o comprometimento subjacente não for totalmente resolvido.
5. Contas de administrador local e reutilização de credenciais
As organizações ainda dependem de contas de administradores locais para tarefas de suporte e recuperação do sistema. Se as senhas dos administradores locais forem reutilizadas nos endpoints, os invasores poderão transformar um comprometimento em acesso amplo.
As contas de administrador local geralmente são autenticadas diretamente no endpoint, ignorando totalmente os controles de MFA. As políticas de acesso condicional do Entra ID não se aplicam. Esse é um dos motivos pelos quais o despejo de credenciais permanece tão eficaz em ambientes Windows.
6. Autenticação e movimento lateral do Server Message Block (SMB)
SMB é usado para compartilhamento de arquivos e acesso remoto aos recursos do Windows. É também um dos caminhos de movimento lateral mais confiáveis, uma vez que um invasor tenha credenciais válidas. Os invasores geralmente usam SMB para acessar compartilhamentos administrativos, como C$, ou para interagir remotamente com sistemas usando credenciais válidas.
Se a autenticação SMB for tratada como tráfego interno, a MFA raramente será aplicada nesta camada. Se o invasor tiver credenciais válidas, ele poderá usar o SMB para se mover rapidamente entre sistemas.
7. Contas de serviço que nunca acionam MFA
Existem contas de serviço para executar tarefas agendadas, aplicativos, integrações e serviços do sistema. Eles geralmente têm estabilidade
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #onde #a #autenticação #multifator #termina #e #o #abuso #de #credenciais #começa
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário