Microsoft Security Staff 

 

Postado por Matt Thomlinson , Vice-presidente de Segurança da Microsoft

Hoje, foram lançadas novas diretrizes para ajudar nossos clientes a enfrentar roubo de credenciais, chamado Mitigação para Pass-the-Hash e outros roubos de credenciais, versão 2. O documento incentiva os profissionais de TI para "assumir a violação", para destacar a necessidade de utilização de estratégias de planejamento global e recursos do Microsoft Windows para tornar-se mais resistente contra roubo de credenciais . Este documento baseia-se na nossa orientação anteriormente publicada e atenuações aos ataques de Pass-a-Hash (PTH). 

Dado que as organizações devem continuar a funcionar depois de uma violação, é fundamental que eles tenham  um plano para minimizar o impacto de ataques bem-sucedidos em suas operações. A adoção de uma abordagem que pressupõe que uma violação irá ocorrer, garante que as organizações têm um plano holístico no lugar antes de um ataque. Uma abordagem planejada permite que os defensores para fechar as brechas que os invasores têm o objetivo de explorar.

O guia também destaca outro ponto importante - que características técnicas por si só não podem evitar o movimento lateral e escalonamento de privilégios. A fim de reduzir substancialmente os ataques de roubo de credenciais, as organizações devem considerar a mentalidade do invasor e utilizar estratégias como identificar ativos-chave, implementando mecanismos de detecção, e tendo uma violação plano de recuperação. Estas estratégias podem ser implementadas em combinação com recursos do Windows para fornecer uma mais eficaz abordagem defensiva, e estão alinhados com o bem -conhecido National Institute of Standards and Technology (NIST) Cybersecurity Framework. 

Existem três pontos importantes que líderes de tecnologia devem entendem sobre o ataque  PtH :  

    • Em primeiro lugar, o invasor tem que obter um meio de penetrar na sua rede antes que o tipo de ataque de PtH  ocorra. Isto é normalmente feito usando táticas como o phishing, tirando proveito de senhas fracas, ou sem patch, explorando vulnerabilidades. 
    • Em segundo lugar, uma vez que os  direitos administrativos para um computador comprometido são obtidos, o invasor captura conta as credenciais de login no computador e, em seguida, usa as credenciais capturadas para autenticação de outros computadores na rede. 
    • Terceiro, o objetivo final de um invasor poderia comprometer o controlador de domínio - o ponto central de controle para todos os computadores, identidades corporativas e credenciais - que efetivamente lhes dá controle e total acesso a todos os ativos de TI da organização. 

Por último, não há uma varinha mágica que solucione roubo de credenciais  em ataques como o PtH. O risco de roubo de credenciais existe em  qualquer tipo de single sign-on, tanto na fonte aberta e plataformas comerciais. A Microsoft está comprometida não só para promover melhorias na plataforma para proteger contra esses ataques, mas também para compartilhar orientação para ajudar a reforçar a nossa infraestrutura dos clientes contra estas ameaças. 

Se você tem a responsabilidade pela segurança da infraestrutura de TI da sua organização, leia e aplique as orientações deste documento. Visite http://microsoft.com/pth