Para Peretas SolarWinds Menggunakan Taktik Yang Akan Disalin Grup Lain


Salah satu Aspek yang paling mengerikan dari peretasan baru-baru ini di Rusia — yang melanggar banyak badan pemerintah Amerika Serikat di antara target lainnya — adalah keberhasilan penggunaan “serangan rantai pasokan” untuk mendapatkan puluhan ribu target potensial dari satu kompromi di perusahaan layanan TI SolarWinds. Tapi ini bukan satu-satunya fitur serangan yang mencolok. Setelah pijakan awal itu, para penyerang mulai menyusup lebih dalam ke jaringan korban mereka dengan strategi yang sederhana dan elegan. Sekarang para peneliti bersiap untuk gelombang teknik itu dari penyerang lain.

Para peretas SolarWinds menggunakan akses mereka dalam banyak kasus untuk menyusup ke layanan email Microsoft 365 korban dan infrastruktur Microsoft Azure Cloud — keduanya menyimpan harta karun berupa data yang berpotensi sensitif dan berharga. Tantangan untuk mencegah jenis gangguan ini ke Microsoft 365 dan Azure adalah bahwa mereka tidak bergantung pada kerentanan tertentu yang dapat dengan mudah ditambal. Sebagai gantinya, peretas menggunakan serangan awal yang memposisikan mereka untuk memanipulasi Microsoft 365 dan Azure dengan cara yang terlihat sah. Dalam hal ini, sangat berpengaruh.

“Sekarang ada aktor lain yang jelas akan mengadopsi teknik ini, karena mereka mengejar apa yang berhasil,” kata Matthew McWhirt, direktur di Mandiant Fireeye, yang pertama kali mengidentifikasi kampanye Rusia pada awal Desember.

Dalam serangan baru-baru ini, peretas menyusupi produk SolarWinds, Orion, dan mendistribusikan pembaruan tercemar yang memberi penyerang pijakan di jaringan setiap pelanggan SolarWinds yang mengunduh patch berbahaya tersebut. Dari sana, penyerang dapat menggunakan hak istimewa yang baru mereka temukan di sistem korban untuk mengontrol sertifikat dan kunci yang digunakan untuk membuat token autentikasi sistem, yang dikenal sebagai token SAML, untuk Microsoft 365 dan Azure. Organisasi mengelola infrastruktur otentikasi ini secara lokal, bukan di cloud, melalui komponen Microsoft yang disebut Active Directory Federation Services.

Setelah penyerang memiliki hak jaringan untuk memanipulasi skema autentikasi ini, mereka dapat membuat token yang sah untuk mengakses akun Microsoft 365 dan Azure organisasi mana pun, tanpa memerlukan sandi atau autentikasi multifaktor. Dari sana, para penyerang juga dapat membuat akun baru, dan memberikan diri mereka hak istimewa tinggi yang diperlukan untuk berkeliaran dengan bebas tanpa mengibarkan bendera merah.

“Kami pikir sangat penting bahwa pemerintah dan sektor swasta semakin transparan tentang aktivitas negara-bangsa sehingga kita semua dapat melanjutkan dialog global tentang melindungi internet,” kata Microsoft dalam posting blog Desember yang menghubungkan teknik ini dengan peretas SolarWinds. “Kami juga berharap publikasi informasi ini membantu meningkatkan kesadaran di antara organisasi dan individu tentang langkah-langkah yang dapat mereka ambil untuk melindungi diri mereka sendiri.”

Badan Keamanan Nasional juga merinci teknik dalam laporan Desember.

“Sangat penting ketika menjalankan produk yang melakukan otentikasi bahwa server dan semua layanan yang bergantung padanya dikonfigurasi dengan benar untuk operasi dan integrasi yang aman,” tulis NSA. “Jika tidak, token SAML dapat dipalsukan, memberikan akses ke banyak sumber daya.”

Microsoft telah memperluas alat pemantauannya di Azure Sentinel. Dan Mandiant juga merilis alat yang memudahkan grup untuk menilai apakah seseorang telah mengikuti pembuatan token autentikasi mereka untuk Azure dan Microsoft 365, seperti memunculkan informasi tentang sertifikat dan akun baru.

Sekarang teknik tersebut telah terungkap secara terbuka, lebih banyak organisasi mungkin mencari aktivitas berbahaya tersebut. Tetapi manipulasi token SAML merupakan risiko bagi hampir semua pengguna cloud, tidak hanya yang di Azure, seperti yang telah diperingatkan oleh beberapa peneliti selama bertahun-tahun. Pada 2017, Shaked Reiner, seorang peneliti di perusahaan pertahanan perusahaan CyberArk, menerbitkan temuan tentang teknik tersebut, yang dijuluki GoldenSAML. Dia bahkan membuat alat bukti konsep yang dapat digunakan oleh praktisi keamanan untuk menguji apakah klien mereka rentan terhadap potensi manipulasi token SAML.

Reiner mencurigai bahwa penyerang tidak menggunakan teknik GoldenSAML lebih sering dalam beberapa tahun terakhir hanya karena teknik tersebut membutuhkan akses tingkat tinggi untuk melakukannya. Namun, dia mengatakan bahwa dia selalu memandang peningkatan penyebaran sebagai hal yang tak terhindarkan, mengingat kemanjuran tekniknya. Itu juga dibangun di atas serangan Microsoft Active Directory terkenal lainnya dari tahun 2014 yang disebut Golden Ticket.

Diposting oleh : SGP Prize