Gli attacchi alla sicurezza aziendale: servizi Microsoft come arma

Il Black Hat 2017 ha dimostrato che Microsoft Enterprise Solutions potrebbe essere molto utile nelle mani degli attaccanti.

Gli hacker sono diventati davvero bravi a sfruttare i software legittimi. Diversi interventi alla conferenza Black Hat 2017 hanno dimostrato che le soluzioni aziendali di Microsoft possono essere molto utili nelle mani di un cybercriminale.

Le aziende che utilizzano cloud ibridi devono adottare misure di sicurezza diverse da coloro che usano un sistema cloud tradizionale. Tuttavia, in realtà non si stanno aggiornando abbastanza velocemente e questo dà origine a numerosi punti deboli nella sicurezza che i cybecriminali possono sfruttare, come è stato dimostrato nel mese di luglio alla conferenza Black Hat 2017. Gli studi hanno dimostrato come una tipica infrastruttura da ufficio possa effettivamente aiutare i cybercriminali a rimanere invisibili alla maggioranza delle soluzioni di sicurezza.

Una volta che, motivati finanziariamente, gli hacker si sono infiltrati in una rete aziendale, la loro più grande difficoltà è ottenere lo scambio di dati segreti dai dispositivi infetti. In sostanza, il loro obiettivo è fare in modo che i dispositivi infetti ricevano comandi e trasmettano le informazioni rubate senza mettere in allarme i sistemi di rilevamento delle intrusioni (IDS: Intrusion Detection System) e i sistemi di prevenzione della perdita di dati (DLP: Data Loss Prevention). I servizi Microsoft a volte non funzionano seguendo le restrizioni delle zone di sicurezza (il che aiuta i cybercriminali), e quindi i dati trasmessi da questi servizi non sono analizzati in profondità.

Uno studio condotto da Ty Miller e Paul Kalinin di Threat Intelligence mostra come i bot siano in grado di comunicare attraverso i servizi di Active Directory (AD) in una rete aziendale. Poiché tutti i client, inclusi quelli mobile, di una rete, e la maggior parte dei server, devono accedere a AD per l’autenticazione, un server AD è il “punto di comunicazione centrale”, il che è molto comodo per la gestione di una botnet. Inoltre, i ricercatori affermano che l’integrazione di Azure AD con un server AD aziendale consente l’accesso diretto a una botnet dall’esterno.

Come può l’AD aiutare a gestire una botnet ed estrarre i dati? Il concetto è molto semplice. Per impostazione predefinita, ogni client della rete può aggiornare le sue informazioni (ad esempio il numero di telefono dell’utente e l’indirizzo di posta elettronica) sul server AD. I campi abilitati alla scrittura includono anche alcuni che possono memorizzare fino a un megabyte di dati. Altri utenti AD possono leggere tutte queste informazioni, creando così un canale di comunicazione.

The write-enabled fields include high-capacity ones that can store up to a megabyte of data.

I ricercatori raccomandano di monitorare i campi AD periodicamente per evidenziare inusuali modifiche e di disabilitare la possibilità che gli utenti possano scrivere nella maggior parte dei campi.

Researchers recommend monitoring AD fields for periodic, unusual changes and disabling users' ability to write to most fields.

Uno studio condotto da Craig Dods di Juniper Networks fa luce su un’altra tecnica per l’estrazione dei dati segreti, utilizzando i servizi di Office 365. Una delle tecniche più comuni si avvale di OneDrive for Business, utilizzato da quasi l’80% dei clienti di Microsoft Online Services. Gli hacker lo apprezzano perché gli addetti IT aziendali di solito si fidano dei server Microsoft, che permettono connessioni ad alta velocità e di evitare la cifratura dei dati durante i caricamenti. Di conseguenza, il compito degli hacker si riduce a collegare un disco OneDrive a un computer obiettivo utilizzando altre credenziali di un utente non aziendale. In questo caso, la copia di dati su OneDrive non è considerata un tentativo di abbandonare il perimetro aziendale, quindi i sistemi di sicurezza suppongono che il disco connesso sia quello di un’azienda. Il disco può essere collegato in modalità invisibile, abbassando le probabilità di rilevamento. Un hacker ha bisogno di altri due strumenti Microsoft per fare ciò, ovvero Internet Explorer e PowerShell. Di conseguenza, una botnet può copiare liberamente i dati sul “proprio” disco, e il cybercriminale può semplicemente scaricarli da OneDrive.

Secondo Dods, per rimanere protetti da un tale attacco, gli utenti devono limitare l’accesso riconoscendo solo i sottodomini di Enterprise Office 365 appartenenti all’azienda. È inoltre consigliabile eseguire un’ispezione approfondita del traffico cifrato e analizzare il comportamento degli script di PowerShell in una sandbox.

Dobbiamo comunque considerare che si tratta di minacce ancora ipotetiche. Per utilizzare queste tecnologie, i cybercriminali dovrebbero innanzitutto riuscire a infiltrarsi in qualche modo nell’infrastruttura della vittima. Una volta fatto ciò, tuttavia, la loro attività non solo non sarà rilevabile dalla maggior parte delle soluzioni di sicurezza aggiornate, ma anche da un osservatore impreparato. Ecco perché ha senso analizzare periodicamente l’infrastruttura IT per individuare eventuali vulnerabilità. Noi, ad esempio, mettiamo a disposizione tutta una serie di servizi specifici per analizzare ciò che accade nella vostra infrastruttura dal punto di vista dell’Information Security e, se necessario, andare alla ricerca di eventuali intrusioni nel sistema.

Consigli