Mais de dois terços (67%) das empresas no mundo ainda estão executando um protocolo inseguro do Windows, responsável em grande parte pelos ataques do WannaCry e NotPetya em 2017 e 2018, respectivamente, de acordo com uma nova pesquisa da ExtraHop. A consultoria de segurança cibernética usou seus recursos de detecção e resposta de rede (NDR) para analisar metadados anônimos de um número não especificado de redes de clientes, a fim de entender melhor onde eles podem estar vulneráveis por causa de protocolos desatualizados.
O relatório de consultoria revelou o uso generalizado do Server Message Block versão 1 (SMBv1), que continha uma vulnerabilidade de estouro de buffer explorada pelo EternalBlue, um exploit desenvolvido pela Agência de Segurança Nacional (NSA) dos Estados Unidos, e ferramentas de ataque. Posteriormente, a falha foi usada por operadores de ameaças norte-coreanos para o WannaCry e por hackers apoiados pelo governo russo para operação do NotPetya.
Este não foi o único protocolo inseguro que ExtraHop encontrou. Ela descobriu que 81% das empresas ainda usam credenciais de texto simples HTTP, e um terço (34%) tem pelo menos dez clientes executando NTLMv1, o que pode permitir que invasores lancem ataques de machine-in-the-middle (MITM) ou assumam o controle total de um domínio. O MITM é um ataque cibernético em que o invasor retransmite secretamente e possivelmente altera as comunicações entre duas partes que acreditam estar se comunicando diretamente.
O relatório também alerta que 70% das empresas também estão executando o LLMNR — protocolo baseado no formato de pacote do sistema de nomes de domínio (DNS) —, que pode ser explorado para acessar os hashes de credenciais de usuários. Estes, por sua vez, poderiam ser quebrados para expor informações de login, afirma a ExtraHop.
Veja isso
UE pune envolvidos nos ataques do WannaCry, NotPetya e OPCW
WannaCry tem forte ligação com Grupo Lazarus
Ted Driggs, chefe de produto da ExtraHop, reconhece que nem sempre é fácil para as organizações atualizar para protocolos mais novos e mais seguros. “A migração do SMBv1 e de outros protocolos obsoletos pode não ser uma opção para sistemas legados e, mesmo quando é uma opção, a migração pode causar interrupções disruptivas. Muitas organizações de TI e segurança optarão por tentar conter o protocolo obsoleto em vez de correr o risco de uma interrupção”, explicou ele à Inforsecurity.
“As organizações precisam de um inventário preciso e atualizado do comportamento de seus ativos para avaliar a postura de risco no que se refere a protocolos inseguros. Só então eles podem decidir como remediar o problema ou limitar o alcance de sistemas vulneráveis na rede.”Quarta-feira, 12, marcou o quarto aniversário do ataque WannaCry que impactou centenas de milhares de usuários em mais de 150 países.
