A Varonis, empresa de análise e segurança de dados, encontrou novas evidências nas investigações forenses relacionadas às invasões do software SolarWinds Orion. Embora haja evidências de comprometimento nas versões 2019.4 HF 5 até 2020.2.1 do sistema, é possível que o código malicioso tenha começando bem antes, com os tokens SAML (Security Assertion Markup Language), um padrão aberto que permite que provedores de identidade passem credenciais de autorização para provedores de serviço.
CONTEÚDO RELACIONADO – Ataque à SolarWinds para atingir governo dos EUA foi “tiro de sniper”, afirma consultoria
No caso da invasão ao Orion, os atacantes introduziram um backdoor pré-criado em um produto de software confiável (SolarWinds Orion) que foi entregue automaticamente a milhares de clientes, disfarçado como uma atualização normal. No entanto, nem todas as organizações que utilizam o sistema foram alvos dos ataques.
O mais provável é que o grupo por trás das ameaças tenha se valido de credenciais expostas em 2018 pelo GitHub para obter acesso à infraestrutura de atualização de software da empresa. A partir da liberação, foi possível adicionar um backdoor malicioso a um dos DLLs (Dynamic-link library), que nada mais é do que extensões criadas pela Microsoft para o conceito de bibliotecas compartilhadas nos sistemas operacionais Microsoft Windows e OS/2.
De acordo com a empresa, a assinatura do DLL pode ter ocorrido de duas formas: por meio de uma base no processo de desenvolvimento, na qual o atacante adicionou o backdoor e deixou que a SolarWinds assinasse como parte do processo de implantação; ou ainda roubando a chave privada do certificado e substituindo o DLL oficial por uma versão maliciosa.
Seja qual for o processo, a Varonis recomenda prestar atenção extra aos alertas e atividades de contas de serviços e diretórios em ambientes híbridos (AAD), especialmente conexões incomuns, alterações de domínio ou atividades do sistema de arquivos, principalmente aquelas relacionadas a dados ou sistemas confidenciais.
Outras ameaças
A Varonis também detectou outras atividades consistentes com as técnicas, táticas e procedimentos (TTPs) utilizados no caso Orion, incluindo falhas na autenticação do Outlook e outros sistemas do Windows. Isso pode indicar que existem vetores iniciais ainda não conhecidos.
No caso dos tokens SAML, é importante analisar as condições em que são realizados os logins. Normalmente, os tokens têm validade de uma hora. Longas durações, como 24 horas, podem indicar uma violação. Além disso, um token que não tem um login associado à sua conta de usuário após ser gerado também merece uma investigação.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.
