PT EN ES

Sob o microscópio: dissecando três caminhos de ataque da vida real no varejo 

5 de outubro de 2023
XM Cyber

Originalmente publicado por Chris Keller no blog da XM Cyber, parceira da Bravo para soluções de cibersegurança e líder global em segurança de nuvem híbrida. 

Poucas indústrias são tão competitivas quanto o varejo. 

De gigantes como a Amazon a boutiques independentes, à loja de ferragens do seu bairro, entre tantas outras, todas elas têm uma coisa em comum: querem que os consumidores gastem dinheiro – muito dinheiro. Ao mesmo tempo, atores mal-intencionados também procuram colocar as mãos nesse dinheiro. Mas eles utilizam meios decididamente menos legais para adquiri-lo; com frequência cada vez maior, eles vão direto à fonte, atacando sistemas de TI de grandes e pequenos vendedores. 

Por que o varejo é um alvo tão atraente? 

O varejo sofre uma tempestade cibernética perfeita: lida com enormes volumes de transações e dinheiro, armazena milhões de detalhes de clientes (incluindo cartões de crédito e PINs), emprega pessoal de linha de frente que pode não ter treinamento em segurança cibernética e depende de pontos de venda (POS, na sigla em inglês) mais antigos, equipamentos que não são necessariamente atualizados, protegidos ou monitorados quanto à prontidão cibernética. 

Mas quão ruim é isso? Em 2022, a empresa de segurança Thales descobriu que 45% dos varejistas entrevistados disseram que o volume, a gravidade e/ou o escopo dos ataques cibernéticos aumentaram nos 12 meses anteriores. E a Verizon documentou 406 incidentes contra varejistas desde o início de 2023, 193 dos quais confirmaram divulgações de dados. Como disse um de nossos clientes – um varejista global: “Temos milhares de lojas em todo o mundo com muitos componentes por loja, portanto, lidar com vulnerabilidades é uma tarefa enorme”. 

Então, sim, é um grande problema. 

Na minha experiência, embora alguns dos mais populares cenários de ataque de varejistas (malware em sistemas POS, ataques à cadeia de abastecimento, comprometimento de contas de usuários) continuem a ser aproveitados, a evolução de uma experiência digital direcionada continua a aumentar a superfície de ataque, que está em constante expansão. A dependência do varejo dos dados pessoais dos clientes e em provedores de nuvem terceirizados abre novos caminhos de exposição, à medida que os varejistas buscam fornecer uma experiência de compra personalizada 24 horas por dia, 7 dias por semana. Para criar estas experiências, os varejistas precisam ter dados muito específicos dos clientes e aproveitar a automação de todos os seus sistemas — o que exige que esses sistemas estejam devidamente protegidos. 

Existem muitos recursos que discutem as ameaças específicas que os varejistas enfrentam e como proteger melhor os ambientes de varejo. Neste blog, adotarei uma abordagem um pouco diferente, colocando sob o microscópio três caminhos de ataque (attack path) de varejistas da vida real. Os caminhos de ataque são as rotas pelas quais os invasores podem seguir para entrar nos sistemas e alcançar os ativos. Certas exposições por si só não são capazes de serem aproveitadas de forma significativa pelos invasores. Mas, quando combinadas a outras exposições “insignificantes”, muitas vezes acabam criando caminhos claros para um invasor. Ao compreender a construção dos caminhos de ataque e aprofundar-nos nestes quase acidentes, podemos compreender melhor como os ataques teriam ocorrido – e, mais importante, como prevenir ataques semelhantes no futuro. 

Caso real n°1 

Quem era o cliente?  

O cliente era uma grande empresa que acabara de adquirir três empresas diferentes – uma nos EUA, uma na Ásia e uma na África do Sul.  

Qual foi o caminho de ataque?  

Ao examinar o cenário de exposição do cliente, descobrimos que o Active Directory na aquisição asiática tinha uma pontuação de risco alta e poderia ser comprometido em apenas duas etapas. Esta implementação do AD estava faltando o patch ZeroLogon – pois apesar de ter instalado o patch, sua equipe de TI se esqueceu de reinicializar o servidor AD para ativar o elemento corrigido. Por esse motivo, o scanner de vulnerabilidades da empresa informou que seu AD estava seguro, mesmo que o patch não tivesse sido aplicado e a DLL ainda estivesse desatualizada.  

Qual foi o impacto?  

O caminho de ataque de saída da instância comprometida do Active Directory poderia comprometer todas as outras instâncias do Active Directory na organização, uma vez que a confiança foi estabelecida como parte do processo de M&A (fusões e aquisições). Ao explorar esta vulnerabilidade, qualquer invasor poderia facilmente ter violado a floresta global do Active Directory da empresa, saltando de uma empresa para todas as outras.  

Como foi remediado?  

Nesse caso, uma pequena correção foi capaz de reduzir uma superfície de ataque massiva. Depois que a aquisição asiática reiniciou seu Active Directory, a versão DLL foi atualizada e a vulnerabilidade foi encerrada.  

Conclusão  

Em muitos casos, fechar uma lacuna enorme não requer uma resolução enorme. Nesse caso, uma simples reinicialização resolveu o problema. A complexidade aqui estava na identificação do ponto de estrangulamento que um invasor poderia explorar, e não na correção em si.  

Caso real n°2 

Quem era o cliente? 

Uma grande empresa de reservas de viagens que tinha acabado de se fundir com outra empresa do mesmo setor e integrado as infraestruturas de ambas as empresas. 

Qual foi o caminho de ataque? 

O cliente tinha um servidor de testes de produtos que estava sempre em execução e não era considerado crítico. Apesar de supor que este servidor estava atualizado, na verdade ele não foi corrigido corretamente desde 2017! A longa lista de vulnerabilidades neste servidor incluía sérios problemas legados, como PrintNightmare e EternalBlue. 

Qual foi o impacto? 

Um comprometimento desse servidor aparentemente sem importância teria proporcionado um caminho fácil para sistemas muito mais importantes. 

Como foi remediado? 

Uma vez que o servidor foi identificado, o cliente percebeu que na verdade não precisava dele… então simplesmente o desligou! Isso reduziu drasticamente o risco para o resto do ambiente. 

Conclusão 

Os grandes ecossistemas digitais frequentemente contêm ativos estranhos ou negligenciados que os invasores podem visar e utilizar como pontos de partida para ativos mais críticos. A simples identificação e remediação (muitas vezes apenas correção, mas às vezes apenas encerramento) desses ativos tem um impacto positivo tremendo na postura de segurança organizacional como um todo. 

Caso real n°3 

Quem era o cliente? 

Uma grande empresa de varejo que havia recentemente integrado a plataforma XM Cyber. 

Qual foi o caminho de ataque? 

Uma verificação inicial das exposições da empresa revelou um caminho aberto de um servidor DMZ que estava exposto à internet, o que poderia levar diretamente ao comprometimento do domínio. Executando o Windows, esse servidor DMZ estava conectado ao domínio Windows do cliente e administrado com uma conta de administrador de domínio. 

Qual foi o impacto? 

Se o servidor DMZ fosse comprometido, o invasor poderia coletar diretamente credenciais de administrador de domínio e conectar-se ao controlador de domínio com todas as permissões. 

Como foi remediado? 

O cliente corrigiu o problema restringindo permissões e removendo usuários. 

Conclusão 

Em ambientes complexos com diversas peças móveis para gerenciar, praticar uma boa higiene de permissões pode melhorar drasticamente a segurança. 

O resultado final 

Provavelmente nem é preciso dizer, mas o varejo é um grande negócio e, para os invasores, só se torna mais atraente à medida que os volumes de vendas aumentam. Então, voltando ao mesmo cliente – “Ao focar nas questões críticas…há uma enorme economia de tempo tanto dentro da minha equipe quanto dentro das lojas.” Compreender os possíveis caminhos de ataque, as exposições críticas que existem nos ambientes e como as exposições se unem significa que as equipes de segurança podem abordar os problemas que realmente impactam o risco e reduzi-lo drasticamente. 

Saiba mais sobre a XM Cyber

uma empresa