Observações de segurança sobre o Office 365 e outros serviços na nuvem.

Atualmente há um grande e crescente número de organizações e empresas migrando seus serviços de e-mail para serviços na nuvem. Com isso, o número de prestadores de serviços que fazem este tipo de migração está aumentando gradativamente. Porém é necessário estar sempre ciente dos riscos que este tipo de transição traz para a empresa.

Dito isto, forneceremos informações sobre esses riscos e seus tipos, vulnerabilidades da configuração de serviços em nuvem; e como se proteger contra esses riscos e vulnerabilidades.

As organizações e empresas que fizeram a migração de seus serviços de e-mail para serviços na nuvem obtiveram determinadas configurações que diminuíram sua postura geral de segurança:

  • Autenticação multifator desativada em contas de administrador;
  • Auditoria de caixa de correio desabilitada;
  • Log de auditoria unificado desabilitado;
  • Sincronização de senhas habilitada;
  • Autenticação não suportada por protocolos legados.

Acontece que, muitas das empresas que fizeram esta migração, não possuíam uma equipe especializada de segurança de TI para que pudessem se concentrar na segurança na nuvem. Isso levou a comprometimentos de usuários, caixas de e-mail e a diversas vulnerabilidades.

Abaixo temos exemplos de vulnerabilidades de configuração:

 

Autenticação multifator desativada por padrão em contas de administrador:

No Active Directory da Azure, os Administradores Globais em um ambiente do Office 365 têm o mais alto nível de privilégios de administrador no nível do locatário. Isso é equivalente, por exemplo, ao administrador de domínio em um ambiente de AD local.

As contas de Administrador Global do Active Directory da Azure são as primeiras contas criadas para que os administradores possam começar a configurar seu locatário e eventualmente migrar seus usuários. A autenticação multifator está desativada por padrão para essas contas.

Há uma política de acesso condicional padrão disponível para os clientes, mas o administrador global deve habilitar explicitamente essa política para ativar a Autenticação Multifator para essas contas. Essas contas estão expostas ao acesso à Internet, porque são baseadas na nuvem. Se não forem protegidas imediatamente, essas contas baseadas na nuvem poderão permitir que um invasor mantenha a persistência à medida que um cliente migra os usuários para o serviço em nuvem.

Auditoria de caixa de correio desativada:

A auditoria de caixa de correio do O365 registra as ações realizadas pelos proprietários, representantes e administradores da caixa de correio. A Microsoft não habilitou a auditoria por padrão no O365 antes de janeiro de 2019. Os clientes que adquiriram seu ambiente O365 antes de 2019 tiveram que habilitar explicitamente a auditoria de caixa de correio.

Além disso, o ambiente O365 não ativa atualmente o log de auditoria unificada por padrão. O log de auditoria unificado contém eventos do Exchange Online, do SharePoint Online, do OneDrive, do Azure AD, do Microsoft Teams, do PowerBI e de outros serviços do O365. Um administrador deve habilitar o log de auditoria unificado no Centro de Conformidade e Segurança antes que as consultas possam ser executadas.

Sincronização de senha ativada:

O Azure AD Connect integra ambientes locais ao Azure AD quando os clientes migram para o Office 365. Essa tecnologia fornece a capacidade de criar identidades do Azure AD a partir de identidades de AD locais ou de corresponder identidades do Azure AD criadas anteriormente com identidades de AD locais. As identidades locais tornam-se as identidades autoritativas na nuvem. Para corresponder identidades, a identidade do AD precisa corresponder a determinados atributos. Se correspondida, a identidade do Azure AD é sinalizada como gerenciada no local. Portanto, é possível criar uma identidade do AD que corresponda a um administrador no Azure AD e criar uma conta local com o mesmo nome de usuário.

Uma das opções de autenticação do Azure AD é “Password Sync”. Se essa opção for ativada, a senha do local sobrescreve a senha no Azure AD. Nessa situação específica, se a identidade do AD local for comprometida, um invasor poderá se mover lateralmente para a nuvem quando a sincronização ocorrer.

Observação:

A Microsoft desativou a capacidade de atender a determinadas contas de administrador a partir de outubro de 2018. No entanto, as organizações podem ter realizado uma correspondência de contas de administrador antes de a Microsoft desabilitar essa função, sincronizando assim identidades que podem ter sido comprometidas antes da migração. Além disso, contas de usuário regulares não são protegidas por esse recurso ser desativado.

Autenticação não suportada por protocolos legados:

O Azure AD é o método de autenticação usado pelo O365 para autenticação com o Exchange Online, que fornece serviços de e-mail. Há vários protocolos associados à autenticação do Exchange Online que não oferecem suporte a métodos de autenticação modernos com recursos do MFA.

Esses protocolos incluem:

  • POP3 (Post Office Protocol),
  • IMAP (Internet Message Access Protocol),
  • SMTP (Simple Mail Transport Protocol).

Os protocolos legados são usados com clientes de e-mail mais antigos, que não suportam autenticação moderna. Os protocolos herdados podem ser desativados no nível do inquilino ou no nível do usuário. No entanto, se uma organização precisar de clientes de e-mails antigos como uma necessidade comercial, esses protocolos não serão desativados. Isso deixa as contas de e-mail expostas à Internet apenas com o nome de usuário e a senha como o principal método de autenticação. Uma abordagem que atenua esse problema é inventariar os usuários que ainda precisam do uso de um cliente de e-mail legado e protocolos de e-mails herdados. O uso de políticas de acesso condicional do Azure AD pode ajudar a reduzir o número de usuários que têm a capacidade de usar métodos de autenticação de protocolo herdados. Essa etapa reduzirá bastante a superfície de ataque das organizações.

Solução

Para solucionar os problemas que citamos nesse artigo, apresentamos o KerioConnect: solução de e-mail de classe empresarial alternativa ao Microsoft Exchange e Office 365, oferecendo inúmeras vantagens e funcionalidades adicionais.

Sendo compatível com o ActiveSync, inclui aplicativos que permitem a fácil migração do MS Exchange para o Kerio Connect, evitando interrupções longas para substituição do antigo sistema para o Kerio Connect.

É a melhor solução de colaboração multiplataforma do mercado, suportando os sistemas operacionais Windows, Linux e MAC.

Saiba mais em: https://www.fcbrasil.com.br/solucoes/redes/kerio-connect.html