O que é um ataque de senha?
Um requisito para o logon único federado é a disponibilidade de pontos de extremidade para autenticação pela Internet. A disponibilidade de pontos de extremidade de autenticação na Internet permite que os usuários acessem os aplicativos mesmo quando esses usuários não estiverem em uma rede corporativa.
Isso também significa que alguns atores proibidos podem aproveitar os pontos de extremidade federados disponíveis na Internet para usar esses pontos de extremidade e tentar determinar senhas ou criar ataques de negação de serviço. Um ataque desse tipo que vem se tornando mais comum é chamado de ataque de senha.
Há dois tipos de ataques de senha comuns. Ataque de pulverização de senha e ataque de senha de força bruta.
Ataque de pulverização de senha
Em um ataque de pulverização de senha, esses atores proibidos tentarão as senhas mais comuns em muitas contas e serviços diferentes para obter acesso a todos os ativos protegidos por senha que puderem encontrar. Normalmente, esses ataques abrangem várias organizações e provedores de identidade diferentes. Por exemplo, um invasor usará um kit de ferramentas comumente disponível para enumerar todos os usuários em várias organizações e, em seguida, tentará "P@$$w0rD" e "Password1" em todas essas contas. Para você ter uma ideia, um ataque pode parecer como:
| Usuário de destino | Senha de destino |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P@$$w0rD |
| User2@org1.com | P@$$w0rD |
| User1@org2.com | P@$$w0rD |
| User2@org2.com | P@$$w0rD |
Esse padrão de ataque evita a maioria das técnicas de detecção porque, do ponto de vista de um usuário ou empresa individual, o ataque se parece apenas com um logon isolado com falha.
Para os invasores, é um jogo de números: eles sabem que há algumas senhas lá que são mais comuns. O invasor terá alguns sucessos para cada milhares de contas atacadas e isso já é suficiente para ser eficaz. Eles usam as contas para obter dados de emails, coletar informações de contato e enviar links de phishing ou apenas expandir o grupo de destino da pulverização de senha. Os invasores não se importam muito com quem são esses alvos iniciais, apenas que eles tenham algum sucesso que possam aproveitar.
Mas ao executar algumas etapas para configurar o AD FS e a rede corretamente, os pontos de extremidade do AD FS podem ser protegidos contra esses tipos de ataques. Este artigo aborda três áreas que precisam ser configuradas corretamente para ajudar a proteger contra esses ataques.
Ataques de senha de força bruta
Nessa forma de ataque, um invasor tentará várias repetições de senha em um conjunto direcionado de contas. Em muitos casos, essas contas serão direcionadas para usuários que tenham um nível mais alto de acesso dentro da organização. Eles podem ser executivos dentro da organização ou administradores que gerenciam a infraestrutura crítica.
Esse tipo de ataque também pode resultar em padrões de DOS. Isso pode estar no nível de serviço em que o AD FS não consegue processar um grande número de solicitações devido ao número insuficiente de servidores. Isso pode estar em um nível de usuário em que um usuário está bloqueado fora da conta dele.
Proteger o AD FS contra ataques de senha
Executando algumas etapas para configurar o AD FS e a rede corretamente, é possível proteger os pontos de extremidade do AD FS contra esses tipos de ataques. Este artigo aborda três áreas que precisam ser configuradas corretamente para ajudar a proteger contra esses ataques.
- Nível 1, linha de base: estas são as configurações básicas que devem ser configuradas em um servidor do AD FS para garantir que atores proibidos não possam atacar com força bruta os usuários federados.
- Nível 2, proteção da extranet: estas são as configurações que devem ser definidas para garantir que o acesso à extranet esteja configurado para usar protocolos seguros, políticas de autenticação e aplicativos apropriados.
- Nível 3, migrar para acesso extranet sem senha: são configurações e diretrizes avançadas para habilitar o acesso a recursos federados com credenciais mais seguras do que senhas propensas a ataques.
Nível 1: linha de base
No AD FS 2016, implementar o bloqueio inteligente de extranet. O bloqueio inteligente extranet rastreia locais familiares e permitirá o acesso de um usuário válido se ele tiver feito logon com êxito nesse local. Usando o bloqueio inteligente de extranet, você garante que atores proibidos não consigam atacar os usuários com força bruta e, ao mesmo tempo, permitirá que o usuário legítimo seja produtivo.
Se você não estiver no AD FS 2016, é altamente recomendável que você atualize para o AD FS 2016. É um caminho de atualização simples do AD FS 2012 R2. Se você estiver no AD FS 2012 R2, implemente o bloqueio de extranet. Uma desvantagem dessa abordagem é que os usuários válidos podem ser bloqueados do acesso à extranet se você estiver em um padrão de força bruta. O AD FS no Server 2016 não tem essa desvantagem.
Monitorar e bloquear endereços IP suspeitos
Se você tiver o Microsoft Entra ID P1 ou P2, implemente o Connect Health para AD FS e use as notificações de relatório de IP de risco que ele fornece.
a. O licenciamento não é para todos os usuários e requer 25 licenças por servidor AD FS/WAP que podem ser fáceis para um cliente.
b. Agora você pode investigar os IPs que estão gerando um grande número de logons com falha.
c. Isso exigirá que você habilite a auditoria em seus servidores do AD FS.
Bloqueie os IPs suspeitos. Isso potencialmente bloqueia os ataques de DOS.
a. Se em 2016, use o recurso Endereços IP Banidos da Extranet para bloquear quaisquer solicitações de IP sinalizadas pelo nº 3 (ou análise manual).
b. Se você estiver no AD FS 2012 R2 ou inferior, bloqueie o endereço IP diretamente no Exchange Online e, opcionalmente, no firewall.
Se você tiver o Microsoft Entra ID P1 ou P2, use a Proteção de Senha do Microsoft Entra para impedir que senhas que podem ser adivinhadas permitam o acesso ao Microsoft Entra ID.
a. Se você tiver senhas adivinháveis, poderá abri-las com apenas 1 a 3 tentativas. Esse recurso impede que elas sejam definidas.
b. Em nossas estatísticas de visualização, quase 20 a 50% das novas senhas são impedidas de serem definidas. Isso implica que % dos usuários são vulneráveis a senhas facilmente adivinhadas.
Nível 2: proteger sua extranet
Mova para a autenticação moderna todos os clientes que acessam a partir da extranet. Os clientes de email são grande parte disso.
a. Você precisará usar o Outlook Mobile para dispositivos móveis. O novo aplicativo de email nativo do iOS também dá suporte à autenticação moderna.
b. Você precisará usar o Outlook 2013 (com os patches de CU mais recentes) ou Outlook 2016.
Habilite a MFA para todo o acesso à extranet. Isso oferece proteção adicional para qualquer acesso à extranet.
a. Se você tiver o Microsoft Entra ID P1 ou P2, use as políticas de Acesso Condicional do Microsoft Entra para controlar isso. Isso é melhor do que implementar as regras no AD FS. Isso ocorre porque os aplicativos cliente modernos são impostos com mais frequência. Isso ocorre, no Microsoft Entra ID, ao solicitar um novo token de acesso (normalmente a cada hora) usando um token de atualização.
b. Se você não tiver o Microsoft Entra ID P1 ou P2 ou tiver aplicativos adicionais no AD FS que permitem acesso baseado na Internet, implemente a autenticação multifator do Microsoft Entra e configure uma política de autenticação multifator global para todo o acesso à extranet.
Nível 3: mover para sem senha para acesso à extranet
Migre para o Windows 10 e use o Hello para Empresas.
Para outros dispositivos, se estiver no AD FS 2016, você poderá usar OTP de autenticação multifator do Microsoft Entra como o primeiro fator e senha como o 2º fator.
Para dispositivos móveis, se você permitir apenas dispositivos gerenciados por MDM, poderá usar Certificados para fazer logon do usuário.
Tratamento urgente
Se o ambiente do AD FS estiver sob ataque ativo, as etapas a seguir deverão ser implementadas o quanto antes:
- Desabilite os pontos de extremidade de nome de usuário e senha no AD FS e exija que todos usem uma VPN para obter acesso ou estar dentro da rede. Isso exige que você tenha concluído a etapa Nível 2 nº 1a. Caso contrário, todas as solicitações internas do Outlook ainda serão roteadas pela nuvem por meio da autenticação de proxy EXO.
- Se o ataque estiver vindo apenas por meio de EXO, você poderá desabilitar a autenticação básica para protocolos do Exchange (POP, IMAP, SMTP, EWS etc.) usando políticas de autenticação. Esses protocolos e métodos de autenticação estão sendo usados na maioria desses ataques. Além disso, as Regras de Acesso ao Cliente no EXO e a habilitação do protocolo por caixa de correio são avaliadas após a autenticação e não ajudarão a mitigar os ataques.
- Ofereça seletivamente acesso à extranet usando o Nível 3 nº 1-3.