São Paulo — InkDesign News — Um novo alerta de segurança foi emitido após a descoberta de uma campanha de tomada de conta ativa (ATO) que utiliza o TeamFiltration, um framework de teste de penetração de código aberto. A campanha já afetou cerca de 80 mil contas de usuários em aproximadamente 100 inquilinos de nuvem.
Vetor de ataque
A campanha intitulada “UNK_SneakyStrike” explora falhas nos acessos da Microsoft, principalmente por meio das APIs do Teams e implementações OAuth para o login único. O TeamFiltration automatiza a enumeração e ataques de “password spraying”, validando contas de usuário em um ambiente específico através da API do Teams e gerando tentativas de senha utilizando uma rotação de endereços IP únicos.
Impacto e resposta
A equipe de pesquisadores da Proofpoint observou “vários casos” de ataques ATO via UNK_SneakyStrike, indicando que a atividade está concentrada em inquilinos de nuvem menores, mas focando somente em um subconjunto de usuários em inquilinos maiores. “Estratégia de direcionamento sugere que eles tentam acessar todas as contas de usuário dentro de inquilinos menores” (“The targeting strategy suggests they attempt to access all user accounts within smaller cloud tenants”) — Pesquisadores da Proofpoint.
Após conseguir uma senha válida, o TeamFiltration tenta explorar lacunas nas políticas de acesso condicional da rede alvo, permitindo acesso persistente às contas. Especialmente, o uso de tokens de atualização em família (FRTs) do OAuth da Microsoft é destacado como uma vulnerabilidade crítica que os atacantes podem explorar.
Análise e recomendações
Os pesquisadores alertam que o TeamFiltration demonstra uma vantagem significativa em ataques na nuvem devido à sua operação por meio de serviços e APIs legítimos, tornando a detecção mais difícil em comparação com ferramentas tradicionais de teste de penetração. Para mitigar esses riscos, as organizações devem implementar autenticação multifatorial (MFA) em todas as contas e rever as políticas de acesso para identificar e corrigir lacunas que possam ser exploradas por atores mal-intencionados.
As estimativas indicam um aumento no uso de ferramentas de intrusão avançadas e plataformas de teste de penetração como o TeamFiltration, sugerindo um cenário preocupante para a segurança cibernética nos próximos meses.
Fonte: (Dark Reading – Segurança Cibernética)
