Os pesquisadores da Tenable Research descobriram recentemente uma vulnerabilidade no serviço de chat Microsoft Teams, que ao ser explorada, ela pode dar a atacantes controle sobre uma conta de um usuário final, permitindo acesso ao histórico do chat, ler e enviar e-mails em nome da vítima, além de acessar arquivos armazenados no OneDrive.
Segundo a Microsoft, o Teams atingiu 115 milhões de usuários ativos por dia em outubro de 2020, alta de 50% em seis meses. O crescimento é, em grande parte, impulsionado por um pico no trabalho remoto, com muitas empresas se apressando para simplificar ao máximo possível a comunicação e colaboração baseadas na nuvem.
Explorando a falha, os atacantes poderiam obter informações potencialmente confidenciais ou realizado outros ataques sofisticados de engenharia social. As possíveis informações comprometidas incluem documentos corporativos de uso exclusivamente interno, dados de identificação pessoal (PII) ou qualquer arquivo transmitido via chat ou e-mail, compartilhada por meio de OneDrive ou Sharepoint.
A Microsoft implementou uma solução para esse problema — nenhuma ação é necessária por parte dos usuários finais. Em um vídeo sobre a falha, a Tenable Research incluiu outras informações.
Segundo Arthur Capella, country manager da Tenable Brasil, é comum encontrar vulnerabilidades nos softwares e é importante que as empresas corrijam o quanto antes. Mas o que chama atenção nesse caso, além da explosão do uso do Teams devido ao trabalho remoto, é a exploração dessa vulnerabilidade para ganhar acesso a contas, credenciais e chegar no Active Directory (AD).
De acordo com a Tenable, o AD tornou-se o alvo preferido dos invasores para elevar os privilégios e facilitar o movimento lateral por meio do aproveitamento de falhas e configurações incorretas conhecidas. “Por ser uma ferramenta que gerencia acessos, é interessante para o atacante explorar uma vulnerabilidade que garante penetração, movimentos laterais e dominação do ambiente de TI”, alerta Capella.
Maturidade na gestão de vulnerabilidades
Como o AD tem liderança no mercado, presente na maioria das grandes empresas, uma exploração maliciosa pode trazer sérios riscos, pois uma vez que alguém tenha acesso e seja autenticado, poderá transitar no ambiente e explorar inúmeras falhas. No ataque à SolarWinds, por exemplo, os atacantes investiram em várias técnicas, entre elas, a manipulação de aplicativos pré-registrados na nuvem do Microsoft Azure AD.
“A características do AD é ser dinâmico e normalmente é administrado pelo time de infraestrutura. Por isso é importante que tenha sinergia entre as equipes de SI e infra, além de monitoramento de forma holística, priorizando as vulnerabilidades encontradas e agilidade nas correções”, explica Capella.
Atenta a esse mercado, a Tenable desenvolveu a ferramenta Tenable.ad, permitindo que as empresas tenham visibilidade, prevejam o que é importante e lidem melhor com os riscos no Active Directory. O objetivo é interromper os caminhos de ataque antes que os invasores os explorem.
No Brasil, a companhia está na fase de provas de conceito e tem recebido excelentes feedbacks dos CISOs. A ideia é seguir trabalhando na apresentação da solução para o mercado e entender como ela poderá ser aderente às demandas dos clientes, atendendo as principais dores da gestão de vulnerabilidades baseadas em risco cibernético.
“Nos últimos meses, nosso time ouviu os clientes e prospects no Brasil para entender as necessidades e agir em cima delas. Nossa estratégia é ser um centro de tomada de decisões baseadas em risco cibernético e estamos investindo em capacitação de parceiros para que possamos atender nossos clientes na eficiência em gestão de vulnerabilidades”, completa Capella.
