Avançar para o conteúdo principal
Microsoft 365
Subscrever

Melhores práticas do Azure AD e dos AD FS: defender-se contra ataques por utilização de palavra-passe única

Por

Olá a todos!

Desde que existem as palavras-passe, que as pessoas têm tentado adivinhá-las. Nesta mensagem de blogue, vamos falar sobre um ataque comum que se tornou MUITO mais frequente recentemente e abordar algumas melhores práticas para se defender contra o mesmo. Este tipo de ataque é frequentemente designado ataque por utilização de palavra-passe única.

Num ataque por utilização de palavra-passe única, os atacantes experimentam as palavras-passe mais comuns em muitas contas e serviços diferentes a fim de obter acesso aos recursos protegidos por palavra-passe que conseguirem encontrar. Normalmente, os alvos podem ser diferentes organizações e fornecedores de identidade. Por exemplo, um atacante irá utilizar um conjunto de ferramentas disponível para o público, como o Mailsniper para enumerar todos os utilizadores em várias organizações e, em seguida, experimentar as palavras-passe “P@L@vr@-P@$$€” e “Palavra-passe1” em todas essas contas. Para terem uma ideia, um ataque pode ter o seguinte aspeto:

Utilizador-Alvo Palavra-Passe Alvo
Utilizador1@org1.com Palavra-passe1
Utilizador2@org1.com Palavra-passe1
Utilizador1@org2.com Palavra-passe1
Utilizador2@org2.com Palavra-passe1
Utilizador1@org1.com P@L@vr@-P@$$€
Utilizador2@org1.com P@L@vr@-P@$$€
Utilizador1@org2.com P@L@vr@-P@$$€
Utilizador2@org2.com P@L@vr@-P@$$€

Este padrão de ataque passa despercebido pela maioria das técnicas de deteção do ponto de vista de um utilizador ou de uma empresa, pois o ataque assemelha-se a uma falha de início de sessão isolada.

Para os atacantes é uma questão de números: eles sabem que algumas palavras-passe são muito comuns. Mesmo que a percentagem destas palavras-passe mais comuns represente apenas 0,5 a 1,0% das contas, o atacante conseguirá ter sucesso com algumas destas entre milhares de contas atacadas e isso é o suficiente para conseguir o que pretende.

Este tipo de atacantes utiliza as contas para obter dados de e-mails, recolher informações de contacto e enviar ligações de phishing ou simplesmente expandir o grupo-alvo do ataque por utilização de palavra-passe única. Os atacantes não querem saber quem são os alvos iniciais, apenas importa conseguir obter sucesso e tirar partido disso.

A boa notícia é que a Microsoft tem muitas ferramentas já implementadas e disponíveis para conter estes ataques e estarão disponíveis mais em breve. Continuem a ler para saberem o que podem fazer agora e nos próximos meses para impedir ataques por utilização de palavra-passe única.

Quatro passos simples para interromper ataques por utilização de palavra-passe única

Passo 1: utilize a autenticação na nuvem

Na nuvem, ocorrem milhares de milhões de inícios de sessão nos sistemas Microsoft todos os dias. Os nossos algoritmos de deteção de segurança permitem-nos detetar e impedir ataques no momento em que estão a ocorrer. Isto só é possível porque se tratam de sistemas de proteção e deteção em tempo real baseados na nuvem, e apenas se encontram disponíveis através da autenticação do Azure AD na nuvem (incluindo a Autenticação Pass-Through).

Bloqueio Inteligente

Na nuvem, utilizamos o Bloqueio Inteligente para diferenciar entre tentativas de início de sessão que parecem ser de um utilizador válido e inícios de sessão que podem ser do atacante. Conseguimos bloquear o atacante e permitir que o utilizador válido continue a utilizar a conta. Isto impede que ocorram ataques denial-of-service no utilizador e interrompe ataques por utilização de palavra-passe única demasiado zelosos. Aplica-se a todos os inícios de sessão do Azure AD, independentemente do nível de licença e a todos os inícios de sessão de contas Microsoft.

Os inquilinos que utilizarem os Serviços de Federação do Active Directory (AD FS) conseguirão utilizar o Bloqueio Inteligente de forma nativa nos AD FS no Windows Server 2016 a partir de março de 2018 (esta funcionalidade é disponibilizada através do Windows Update).

Bloqueio de IPs

O bloqueio de IPs analisa milhares de milhões de inícios de sessão para avaliar a qualidade do tráfego de cada endereço IP que aceda aos sistemas Microsoft. Com essa análise, o bloqueio de IPs deteta os endereços IP que estejam a realizar ações maliciosas e bloqueia esses inícios de sessão em tempo real.

Simulações de Ataques

O Simulador de Ataques, agora disponível em pré-visualização pública como parte da funcionalidade Informações Sobre Ameaças do Office 365, permite aos clientes iniciar simulações de ataques nos respetivos utilizadores finais, determinar como os utilizadores reagem na ocorrência de um ataque, atualizar políticas e assegurar que são disponibilizadas as ferramentas de segurança adequadas para proteger a sua organização contra ameaças como os ataques por utilização de palavra-passe única.

Recomendações a colocar em prática o quanto antes:

  1. Se estiver a utilizar a autenticação na nuvem, está protegido
  2. Se estiver a utilizar os AD FS ou um outro cenário híbrido, verifique se existe uma atualização dos AD FS em março de 2018 para o Bloqueio Inteligente
  3. Utilize o Simulador de Ataques para avaliar proativamente a sua postura de segurança e fazer ajustes em conformidade

Passo 2: utilizar a autenticação multifator

Uma palavra-passe é a chave para aceder a uma conta. Portanto, quando um ataque por utilização de palavra-passe única é bem-sucedido significa que o atacante descobriu a palavra-passe correta. Para impedi-lo, precisamos de utilizar algo mais além de uma mera palavra-passe para distinguir entre o proprietário da conta e o atacante. Abaixo seguem-se três formas de o fazer.

Autenticação multifator baseada em riscos

O Azure AD Identity Protection utiliza os dados de início de sessão acima mencionados e adiciona aprendizagem automática avançada e deteção de algoritmos para classificar os riscos de cada início de sessão efetuado no sistema. Isto permite que os clientes empresarias criem políticas no Identity Protection que pedem ao utilizador para se autenticar com um segundo fator se, e apenas se, for detetado algum risco para o utilizador ou para a sessão. Desta forma facilita o trabalho para os utilizadores e bloqueia o acesso por parte dos atacantes. Saiba mais sobre o Azure AD Identity Protection aqui.

Autenticação multifator Always On

Para uma maior segurança, pode utilizar o MFA do Azure de modo a pedir sempre que os seus utilizadores efetuem a autenticação multifator, tanto na autenticação na nuvem como nos AD FS. Embora isto exija que os utilizadores tenham sempre os seus dispositivos consigo e efetuem a autenticação multifator com maior frequência, este método proporciona a segurança mais eficaz para a sua empresa. Este método tem de ser ativado para todos os administradores numa organização. Saiba mais sobre o Multi-Factor Authentication do Azure aqui e sobre como configurar o MFA do Azure para os AD FS.

MFA do Azure como autenticação principal

Nos AD FS 2016, tem a capacidade de utilizar o MFA do Azure como autenticação principal para autenticação sem palavra-passe. Esta ferramenta é ótima para se proteger contra o roubo de palavras-passe e ataques por utilização de palavra-passe única: não será possível descobrir uma palavra-passe se esta não existir. Isto funciona muito bem para todos os tipos de dispositivos com vários fatores de forma. Além disso, agora pode utilizar uma palavra-passe como segundo fator apenas depois de o seu OTP ter sido validado com o MFA do Azure. Saiba mais sobre como utilizar uma palavra-passe como segundo fator aqui.

Recomendações a colocar em prática o quanto antes:

  1. Recomendamos vivamente que ative a autenticação multifator always on para todos os administradores na sua organização, principalmente os que tiverem subscrições e os administradores de inquilinos. É realmente importante que o faça de imediato.
  2. Para uma melhor experiência para os seus restantes utilizadores, recomendamos a autenticação multifator baseada em riscos, que está disponível com as licenças Azure AD Premium P2.
  3. Em alternativa, utilize o MFA do Azure para a autenticação na nuvem e nos AD FS.
  4. Nos AD FS, atualize para os AD FS no Windows Server 2016 para utilizar o MFA do Azure como autenticação principal, principalmente para todos os acessos da extranet.

Passo 3: melhores palavras-passe para todos

Mesmo tendo em conta o que acima foi mencionado, um requisito-chave da defesa contra ataques por utilização de palavra-passe única é que todos utilizadores precisam de ter palavras-passe difíceis de adivinhar. Muitas vezes, os utilizadores têm dificuldades em criar palavras-passe que sejam difíceis de adivinhar. A Microsoft ajuda-o nesta tarefa com estas ferramentas.

Palavras-passe banidas

No Azure AD, todas as reposições e alterações de palavra-passe passam por um verificador de palavras-passe banidas. Quando uma palavra-passe é submetida, é feita uma pesquisa com base numa lista de palavras que ninguém deve utilizar numa palavra-passe (e a escrita “l33t-sp3@k” não ajuda). Se existirem correspondências, esta é rejeitada e é pedido ao utilizador que escolha uma palavra-passe mais complexa. Criámos uma lista das palavras-passe mais atacadas e atualizamo-la frequentemente.

Palavras-passe banidas personalizadas

Para tornar a funcionalidade de palavras-passe banidas mais eficaz, vamos permitir que os inquilinos personalizem as respetivas listas de palavras-passe banidas. Os administradores podem escolher palavras relacionadas com a organização – como os fundadores, colaboradores famosos, produtos, localizações, ícones regionais, entre outros – e impedir que estas sejam utilizadas nas palavras-passe dos utilizadores. Esta lista será imposta em conjunto com a lista global para que não tenha de escolher uma em detrimento da outra. Neste momento está em pré-visualização limitada e será lançada este ano.

Palavras-passe banidas para alterações no local

Esta primavera, iremos lançar uma ferramenta que ajuda os administradores empresariais a banir palavras-passe em ambientes híbridos do Azure AD-Active Directory. As listas de palavras-passe banidas serão sincronizadas a partir da nuvem com os seus ambientes no local e serão impostas em todos os controladores de domínio com o agente. Isto ajuda os administradores a garantir que as palavras-passe dos utilizadores sejam mais difíceis de adivinhar, independentemente de onde o utilizador altera a sua palavra-passe: na nuvem ou no local. Esta ferramenta foi lançada para pré-visualização privada limitada em fevereiro de 2018 e será disponibilizada para o público este ano.

Mude o seu conceito de palavra-passe

Muitas das conceções comuns acerca do que torna uma palavra-passe boa estão erradas. Geralmente, algo que resulta matematicamente também resulta em comportamentos previsíveis dos utilizadores: por exemplo, exigir determinados tipos de carateres e alterações periódicas de palavra-passe resultam em padrões de palavra-passe específicos. Leia a nossa documentação técnica de orientação para palavras-passe para obter muitos mais detalhes. Se estiver a utilizar o Active Directory com a PTA ou os AD FS, atualize as suas políticas de palavra-passe. Se estiver a utilizar contas geridas na nuvem, pondere definir as suas palavras-passe para nunca expirarem.

Recomendações a colocar em prática o quanto antes:

  1. Instale a ferramenta de palavras-passe banidas da Microsoft no local quando esta for lançada para ajudar os seus utilizadores a criarem melhores palavras-passe.
  2. Reveja as suas políticas de palavra-passe e pondere defini-las para nunca expirarem para que os seus utilizadores não recorram a padrões sazonais para criarem as palavras-passe.

Passo 4: mais funcionalidades fantásticas nos AD FS e no Active Directory

Se estiver a utilizar uma autenticação híbrida com os AD FS e o Active Directory, existem mais passos que pode seguir para proteger o seu ambiente contra ataques por utilização de palavra-passe única.

O primeiro passo para as organizações que estejam a executar os AD FS 2.0 ou o Windows Server 2012, é planear a migração para os AD FS no Windows Server 2016 o mais rapidamente possível. A versão mais recente será atualizada mais rapidamente com um conjunto de funcionalidades avançadas, tal como o bloqueio da extranet. Lembre-se também de que agora é muito fácil atualizar do Windows Server 2012 R2 para o 2016.

Bloqueie a autenticação legada a partir da Extranet

Os protocolos de autenticação legada não têm a capacidade de impor a MFA, pelo que a melhor abordagem é bloqueá-los a partir da extranet. Isto irá impedir que os atacantes deste tipo consigam aproveitar-se da ausência da MFA nesses protocolos.

Ative o Bloqueio da Extranet do Proxy de Aplicações Web dos AD FS

Se não tiver o bloqueio da extranet imposto no Proxy de Aplicações Web dos AD FS, deve ativá-lo o mais rapidamente possível para proteger os seus utilizadores contra potenciais ataques de força bruta.

Implemente o Azure AD Connect Health para AD FS

O Azure AD Connect Health captura endereços IP gravados nos registos dos AD FS referentes a pedidos incorretos de nome de utilizador/palavra-passe, fornece-lhe relatórios adicionais numa variedade de cenários e apresenta informações adicionais para os engenheiros de suporte ao abrir casos de suporte assistido.

Para implementar, transfira a versão mais recente do Agente do Azure AD Connect Health para os AD FS em todos os Servidores AD FS (2.6.491.0). Os servidores AD FS têm de executar o Windows Server 2012 R2 com o KB 3134222 instalado ou o Windows Server 2016.

Utilize métodos de acesso não baseados em palavras-passe

Não é possível descobrir uma palavra-passe se esta não existir. Estes métodos de autenticação não baseados em palavras-passe estão disponíveis para os AD FS e o Proxy de Aplicações Web:

  1. A autenticação baseada em certificados permite bloquear completamente os pontos finais de nome de utilizador/palavra-passe na firewall. Saiba mais sobre a autenticação baseada em certificados nos AD FS
  2. O MFA do Azure, conforme mencionado acima, pode ser utilizado como segundo fator na autenticação na nuvem e no AD FS 2012 R2 e 2016. Porém, também pode ser utilizado como primeiro fator no AD FS 2016 para eliminar completamente a probabilidade de um ataque por utilização de palavra-passe única. Saiba como configurar o MFA do Azure com os AD FS aqui
  3. O Windows Hello para Empresas, disponível no Windows 10 e suportado pelos AD FS no Windows Server 2016, permite totalmente o acesso sem palavra-passe, incluindo a partir da extranet, baseado em chaves criptográficas fortes associadas ao utilizador e ao dispositivo. Esta funcionalidade está disponível para dispositivos geridos pela empresa, que estejam associados ao Azure AD ou ao Azure AD Híbrido, bem como para dispositivos pessoais através da opção “Adicionar Conta Escolar ou Profissional” da aplicação Definições. Obtenha mais informações sobre o Hello para Empresas.

Recomendações a colocar em prática o quanto antes:

  1. Atualize para o AD FS 2016 para obter atualizações mais rápidas.
  2. Bloqueie a autenticação legada a partir da Extranet.
  3. Implemente agentes do Azure AD Connect Health para AD FS em todos os seus servidores AD FS.
  4. Pondere utilizar um método de autenticação principal sem palavra-passe, como o MFA do Azure, certificados ou o Windows Hello para Empresas.

Bónus: proteger as suas contas Microsoft

Se for utilizador de uma conta Microsoft:

  • Temos boas notícias para si, já está protegido! As contas Microsoft também têm o Bloqueio Inteligente, bloqueio de IPs, verificação de dois passos baseada em riscos, palavras-passe banidas e muito mais.
  • Despenda dois minutos a aceder à página Segurança da conta Microsoft e selecione a opção “Atualize as suas informações de segurança” para rever as suas informações de segurança utilizadas na verificação de dois passos.
  • Pondere ativar a verificação de dois passos always on aqui para proporcionar a segurança mais eficaz à sua conta.

A melhor defesa é…seguir as recomendações neste blogue

Os ataques por utilização de palavra-passe única são uma ameaça séria a todos os serviços na Internet que utilizem palavras-passe, mas se seguir os passos descritos neste blogue obterá a máxima proteção contra este vetor de ataque. Tendo em conta que muitos tipos de ataques têm traços semelhantes, estas sugestões representam uma boa proteção. A sua segurança é sempre a nossa maior prioridade e estamos a trabalhar de forma contínua e dedicada para desenvolver novas proteções avançadas contra ataques por utilização de palavra-passe única e outros tipos de ataque. Utilize as mencionadas acima e verifique regularmente se existem novas ferramentas para se defender contra pessoas com más intenções na Internet.

Espero que estas informações sejam úteis. Como sempre, gostaríamos de receber o vosso feedback ou quaisquer sugestões que tenham.

Melhores cumprimentos,

Alex Simons (Twitter: @Alex_A_Simons)

Diretor de Gestão de Programas

Divisão do Microsoft Identity

Publicações relacionadas