• RSA: Backdoor Favoreceu Atacantes

    Publicado em 04-04-2011 17:12
    0 Comentários Comentários
    Através de uma postagem publicada em seu blog empresarial, a RSA liberou detalhes importantes sobre o servidor break-in, relatado cerca de duas semanas atrás. Segundo Uri Rivner, chefe da divisão "Consumer Identity Protection" pertencente à companhia, os intrusos utilizaram um backdoor que foi instalado, usando e-mails infectados.

    Os e-mails supostamente continham uma planilha Excel com um arquivo Flash incorporado, e especialmente criado para esta finalidade maliciosa. Quando a planilha foi aberta, o Flash Player iniciou o applet Flash para reproduzir o arquivo. Uma determinada falha, que já foi corrigida anteriormente pela Adobe, permitiu que os atacantes pudessem injetar código arbitrário no sistema, e assim executá-lo. Nessa sequência, a F-Secure pôde descrever um cenário de ataque, que envolve exatamente essa mesma façanha.

    Além disso, a RSA declarou que duas variantes de e-mails infectados com um anexo chamado "2011 Recruitment plan.xls", foram enviadas para um grupo de funcionários da companhia, dentro de um período de apenas dois dias. Aparentemente, um dos funcionários visados havia ​​recuperado o e-mail de uma pasta de spam, e resolveu abrí-lo. Os invasores usaram o exploit para instalar a amplamente conhecida e disponível gratuitamente ferramenta de administração remota "Poison Ivy", e muitas vezes, essas ferramentas são criadas em um modo de conexão reversa.

    A ferramenta permitiu que os atacantes pudessem espionar as credenciais de acesso ao servidor do usuário, realizando um log dentro do servidor e aumentar seus privilégios de acesso (através de vulnerabilidades adicionais). Isto gradualmente, lhes permitiu trilhar o o seu caminho até chegar aos sistemas que lhes interessavam.

    Uma vez no local, eles realizaram uma colheita de dados e copiaram-nos para outros servidores na rede interna, onde foi feita uma combinação, compactação e criptografia das informações antes de realizar uma transferência para um servidor FTP externo. O ataque foi muito semelhante ao ocorrido com o Google no início de 2010, quando os atacantes exploravam uma falha no Internet Explorer para instalar um backdoor e eventualmente, "trilharam um caminho" através do sistema single sign-on Google.

    No entanto, a RSA ainda não divulgou os dados que realmente foram colhidos, e se os invasores conseguiram obter, por exemplo, os "seeds" e os números de série de SecurID tokens. Atualmente, só há uma certeza: de que o incidente "afetou" o token de segurança. No entanto, especialistas em segurança tem esperado que o pior aconteça, e agora estão assumindo que tokens SecurID não ofereçam qualquer tipo de segurança, e que o sistema deve ser considerado como se tivesse sido quebrado.

    Esses acontecimentos também podem ser melhor observados pela RSA, para que os clientes imponham uma senha forte, com o intuito de inibir a ocorrência de ações maliciosas. A empresa também recomenda que os clientes acompanhem de perto a sua infra-estrutura, para se proteger contra atividades suspeitas.


    Links de Interesse:

    - Open Letter to RSA Customers
    - RSA Security
    - RSA break-in: it was the Flash Player's fault
    + Enviar Comentário