0
0
Os agentes de ameaças que invadiram o ambiente de desenvolvimento da empresa de gerenciamento de senhas LastPass em agosto passado usaram as informações coletadas desse incidente para um ataque subsequente, confirmou a empresa. Os ciberataques conseguiram acessar e exfiltrar dados de um serviço de armazenamento em nuvem criptografado que continha um backup dos dados do cliente e do cofre do LastPass.
Para realizar o assalto, os adversários visaram um computador doméstico pertencente a um dos quatro engenheiros de DevOps do LastPass que tinham as chaves de descriptografia necessárias para acessar um conjunto mais amplo de clientes do LastPass e dados de cofre criptografados armazenados em baldes de armazenamento em nuvem Amazon S3 criptografados.
A máquina do engenheiro tinha um reprodutor de mídia de terceiros vulnerável que o invasor explorou para obter acesso ao computador e instalar um keylogger nele. O malware acabou permitindo que o agente da ameaça obtivesse acesso ao cofre corporativo do engenheiro de DevOps e exportasse as chaves de descriptografia necessárias para acessar os backups de produção do AWS S3 LastPass, disse o LastPass.
O invasor teve acesso a uma ampla gama de dados
As credenciais e chaves do engenheiro de DevOps permitiram que o agente da ameaça acessasse uma ampla gama de dados criptografados e não criptografados – incluindo dados do cofre de senhas – armazenados no ambiente de armazenamento AWS S3, anunciou o LastPass esta semana. Os dados de backup incluíam informações de configuração, API e segredos de integração de terceiros, metadados do cliente e backups de todos os dados do cofre do cliente. No entanto, o LastPass descreveu a maioria dos dados confidenciais nos cofres dos clientes como criptografados e legíveis apenas com uma chave de descriptografia exclusiva derivada das senhas mestras de cada usuário final.
“Como lembrete, as senhas mestras do usuário final nunca são conhecidas pelo LastPass e não são armazenadas ou mantidas pelo LastPass – portanto, elas não foram incluídas nos dados exfiltrados”, disse a empresa .
Além disso, o invasor também acessou um backup de um banco de dados contendo autenticação multifator LastPass (MFA) e informações de federação. O banco de dados incluía sementes MFA atribuídas aos usuários quando eles registraram pela primeira vez seu autenticador MFA com o LastPass, hashes de senhas únicas (OTPs) geradas pelo cliente e os chamados componentes de conhecimento divididos ou chaves K2 associadas a clientes comerciais. Os segredos que os clientes empresariais usam para integrar fornecedores de MFA terceirizados, como Duo Security com LastPass, também foram afetados.
“Este banco de dados foi criptografado, mas a chave de descriptografia armazenada separadamente foi incluída nos segredos roubados pelo agente da ameaça”, disse o LastPass, que ofereceu uma descrição completa de todos os dados afetados .
Última reviravolta no desenrolar do conto
A atualização enviada em 27 de fevereiro é a última reviravolta em um conto de violação que vem crescendo lentamente em escopo desde agosto passado, quando o LastPass divulgou que havia detectado atividades incomuns em sua rede. Na época, a empresa de gerenciamento de senhas disse que os invasores invadiram seu ambiente de desenvolvimento em nuvem por meio do laptop de um engenheiro de software comprometido e roubaram algum código-fonte e outras informações técnicas proprietárias. Em atualizações em novembro e dezembro, o LastPass disse que os mesmos agentes de ameaças usaram as informações obtidas no incidente de agosto para acessar e descriptografar um número limitado de volumes de armazenamento dentro do serviço de armazenamento baseado em nuvem .
É improvável que a atualização mais recente do LastPass conquiste novos fãs para a empresa no setor de segurança, especialmente por causa de como o escopo do incidente mudou a cada divulgação. Quando relatou a violação pela primeira vez em agosto passado, o CEO da empresa, Karim Toubba, descreveu-a como limitada ao ambiente de desenvolvimento da empresa e afirmou que a empresa havia “atingido um estado de contenção”. Em suas atualizações subsequentes, a empresa tranquilizou os usuários sobre a separação entre seus ambientes de desenvolvimento e produção e por que suas informações estavam seguras. Com o anúncio desta semana, o LastPass disse que o ataque ao seu ambiente de armazenamento em nuvem coincidiu com o ataque ao ambiente de desenvolvimento.
“A empresa agora tem um histórico de violações e, dependendo de como você conta, esta é a terceira em menos de um ano”, diz Eric Noonan, CEO da CyberSheath. No nível tático, é difícil saber o que eles poderiam ter feito melhor, porque as informações sobre as violações são relativamente escassas, diz ele. “No esquema maior das coisas, é disso que a CISA e outras agências governamentais responsáveis estão falando quando dizem que as empresas de produtos têm a responsabilidade de criar segurança e proteção em seus produtos antes de lançá-los ao público”, diz Noonan.
Revise as senhas mestras
A empresa defende que os clientes empresariais e individuais revisem suas senhas mestras e as alterem, se necessário. Os usuários que seguiram as recomendações anteriores da empresa para definir uma senha mestra devem estar protegidos contra métodos de adivinhação de força bruta.
O ataque é mais uma prova de como a segurança corporativa se tornou inextricavelmente ligada à segurança das redes e dispositivos que os funcionários usam em casa, dizem os especialistas em segurança.
Os CISOs devem entender as implicações de um comprometimento de dispositivo pessoal, uma rede doméstica totalmente aberta ou um comprometimento pessoal que afeta a empresa, diz Chris Pierson, CEO e fundador da BlackCloak. “Os riscos não são mais teóricos e nunca foram”, diz Pierson. “Como os ambientes corporativos se tornaram tão bem fortalecidos, os cibercriminosos estão se movendo para os frutos mais baixos”, que geralmente são os dispositivos pessoais de funcionários e executivos importantes, diz ele.
Uma pesquisa realizada recentemente pela BlackCloak descobriu que os desktops pessoais, dispositivos móveis e tablets que os principais executivos corporativos usam frequentemente são vulneráveis e carecem de proteções básicas. Os dados do BlackCloak mostraram, por exemplo, que 76% dos dispositivos pessoais dos executivos vazam dados ativamente, 87% dos dispositivos pessoais dos executivos não têm segurança instalada e 23% dos executivos têm portas abertas em casa. A pesquisa mostrou que 87% dos executivos usam senhas que atualmente vazam na Dark Web, 54% não usam um gerenciador de senhas e sites de mídia social e corretores de dados têm muitas informações que os invasores podem usar para engenharia social.
Foco em usuários domésticos e dispositivos
Ataques como o que o LastPass divulgou esta semana destacam por que as equipes de segurança precisam se concentrar mais em proteger os funcionários contra ataques de controle de contas onde quer que estejam e qualquer dispositivo que estejam usando, diz Avi Turgeman, CEO e cofundador da IronVest.
“Eles precisam adotar uma abordagem mais holística para proteger [os funcionários contra] todas as vulnerabilidades críticas”, disse Turgeman à Dark Reading. Isso inclui a implementação de medidas como autenticação de identidade, gerenciamento de acesso, proteção pós-login, proteção 2FA/MFA e phishing. “Oitenta por cento das violações de dados são resultado de credenciais comprometidas”, observa ele.
FONTE: DARK READING