Daniel Petri | Gestor de formação sénior

Os ataques de adivinhação de palavras-passe são uma ameaça crítica à cibersegurança. Os ambientes Active Diretory (AD) são particularmente susceptíveis, uma vez que uma única conta comprometida pode levar a uma infiltração generalizada na rede. Assim, as consequências dos ataques de adivinhação de palavras-passe podem ser de longo alcance e graves, conduzindo a violações de dados, comprometimento da rede e perturbações operacionais significativas. As contas privilegiadas requerem uma atenção especial, dados os seus elevados direitos de acesso e o potencial de danos extensos se forem comprometidas. Eis o que precisa de saber sobre a adivinhação de palavras-passe e como proteger o Active Diretory - e a sua organização.

O que é um ataque de adivinhação de palavra-passe?

Os ataques de adivinhação de palavras-passe são uma forma de ciberinvasão em que os atacantes tentam sistematicamente uma vasta gama de palavras-passe para obter acesso não autorizado aos sistemas. Estes ataques exploram o elo mais fraco da segurança: as palavras-passe escolhidas pelo homem. Apesar dos avanços na cibersegurança, a dependência de palavras-passe como mecanismo de autenticação principal torna os sistemas inerentemente vulneráveis a este tipo de ataques.

Os ataques de adivinhação de palavras-passe exploram vários tipos de vulnerabilidades em ambientes Active Diretory. Identificar e resolver estas vulnerabilidades é crucial para mitigar o risco de tais ataques. Os principais alvos vulneráveis incluem:

  • Contas de utilizador com palavras-passe predefinidas ou habitualmente utilizadas. As contas de utilizador configuradas com palavras-passe predefinidas, comuns ou fáceis de adivinhar constituem um risco elevado. Essas contas incluem aquelas que podem ter sido criadas com uma palavra-passe inicial padrão que nunca foi alterada.
  • Políticas de palavra-passe fracas. As contas, especialmente as que têm privilégios elevados, que não são regidas por políticas de palavras-passe fortes correm um risco significativo. O NIST e a Microsoft recomendam agora um mínimo de 8 caracteres e a eliminação de redefinições periódicas de palavra-passe para contas de utilizador, entre outras práticas recomendadas. As políticas de palavras-passe fracas permitem palavras-passe mais curtas, mais simples ou previsíveis e podem aumentar significativamente o risco de ataques bem sucedidos de adivinhação de palavras-passe. Infelizmente, poucos ambientes AD aplicam a rejeição de palavras-passe comuns.
  • Contas de serviço. As contas de serviço têm frequentemente permissões de alto nível e são utilizadas para executar aplicações, processos ou serviços na rede. O comprometimento de uma conta de serviço pode ter implicações generalizadas, uma vez que os atacantes podem aproveitar as permissões da conta para aceder ou interromper serviços e processos críticos.

A eficácia dos ataques de adivinhação de palavras-passe é ampliada quando as melhores práticas de segurança de palavras-passe não são rigorosamente seguidas - especialmente para contas administrativas.

Tipos de ataques de adivinhação de palavras-passe

Os ataques de adivinhação de palavras-passe assumem várias formas, cada uma com caraterísticas únicas.

Ataques de força bruta

Os ataques de força bruta envolvem a tentativa de todas as combinações possíveis de palavras-passe. Embora consumam muito tempo e recursos, estes ataques são surpreendentemente eficazes contra contas com palavras-passe simples ou curtas.

  • O tempo estimado para a força bruta de uma palavra-passe curta (ou seja, com 6 ou menos caracteres) e só com o alfabeto pode ser de apenas 5 minutos.
  • A decifração de combinações alfanuméricas que incluem caracteres maiúsculos e minúsculos pode demorar cerca de 5 horas.
  • As combinações alfanuméricas complexas que incluem caracteres especiais podem exigir cerca de 8 dias para serem decifradas.

Aumentar o comprimento da palavra-passe para 10 ou mais caracteres reduz significativamente a probabilidade de um ataque de força bruta bem sucedido, tornando-o realisticamente impossível sem a utilização de hardware dedicado para fins especiais.

Ataques de dicionário e de pulverização de palavras-passe

Nos ataques de pulverização de palavras-passe e ataques de dicionário, os atacantes utilizam uma lista de palavras-passe e frases comuns. Estas listas incluem muitas vezes variações e substituições frequentemente utilizadas, explorando a tendência dos utilizadores para criar palavras-passe fáceis de memorizar.

  • Para uma palavra-passe de 6 caracteres, se a palavra-passe for uma palavra comum ou uma variação simples, um ataque de dicionário pode ser muito rápido, podendo demorar apenas minutos ou horas. No entanto, se a palavra-passe não constar do dicionário ou for mais complexa (por exemplo, uma combinação aleatória de caracteres), o ataque de dicionário pode não ser bem sucedido.
  • A probabilidade de sucesso de um ataque de dicionário diminui ainda mais com uma palavra-passe de 10 caracteres, especialmente quando essa palavra-passe é uma palavra ou frase complicada ou pouco comum. Se a palavra-passe for uma frase comum ou uma combinação de palavras, o ataque pode ser possível, mas geralmente demoraria mais tempo do que com uma palavra-passe de 6 caracteres.

Recheio de credenciais

O preenchimento de credenciais envolve a utilização de pares de nome de utilizador e palavra-passe conhecidos , obtidos a partir de violações de dados anteriores. Este ataque é particularmente eficaz devido à prática comum de reutilização de palavras-passe em sistemas e serviços.

Riscos do ataque de adivinhação de palavra-passe

Os ataques de adivinhação de palavra-passe representam inúmeros riscos e podem ter consequências de grande alcance em ambientes Active Diretory. O principal risco é o acesso não autorizado, que pode levar a uma cascata de eventos prejudiciais:

  • Violações de dados. Os ataques bem sucedidos de adivinhação de palavras-passe resultam frequentemente em violações de dados, dando aos atacantes acesso a informações sensíveis, tais como dados pessoais, registos financeiros e propriedade intelectual. Este acesso não só prejudica a integridade organizacional, como também pode ter repercussões legais e financeiras.
  • Movimento lateral. Uma vez dentro da rede, os atacantes podem utilizar credenciais comprometidas para se deslocarem lateralmente entre sistemas. O movimento lateral permite que os agentes de ameaças acedam a outras contas, servidores ou bases de dados que não são diretamente acessíveis a partir do ponto de entrada inicial. O movimento lateral é particularmente perigoso em ambientes AD devido à natureza interligada dos recursos de rede.
  • Escalada de privilégios. Os atacantes podem explorar palavras-passe fracas para obter privilégios mais elevados dentro da rede. Isto pode envolver o comprometimento de contas com privilégios administrativos ou o aumento de privilégios de uma conta de nível inferior. A escalada de privilégios pode levar a que os atacantes ganhem controlo total sobre a rede e os seus recursos.
  • Persistência da ameaça. Os atacantes têm frequentemente como objetivo estabelecer um acesso persistente na rede, permitindo-lhes regressar à vontade. Atingem este objetivo criando backdoors, plantando malware ou explorando outras vulnerabilidades. A persistência de ameaças em ambientes AD pode ser difícil de detetar e erradicar sem as ferramentas adequadas.
  • Perturbação operacional. O acesso não autorizado pode interromper as operações comerciais, levando a tempo de inatividade, perda de produtividade e potenciais danos à reputação da organização.
  • Violações de conformidade. Muitas indústrias e países têm regulamentos e normas que regem a proteção de dados e a privacidade. Os ataques de adivinhação de palavras-passe que conduzem a violações de dados podem resultar em incumprimento, levando a multas e consequências legais.

Os incidentes da vida real envolvem frequentemente atacantes que exploram palavras-passe curtas ou comuns. Por exemplo, ocorreram inúmeras violações de dados porque os atacantes conseguiram adivinhar ou decifrar palavras-passe simples utilizadas por funcionários ou administradores. Em alguns casos, os atacantes utilizaram credenciais comprometidas para instalar ransomware, causando danos operacionais e financeiros significativos.

Como detetar ataques de adivinhação de palavras-passe

A deteção eficaz de ataques de adivinhação de palavra-passe em ambientes Active Diretory envolve uma abordagem multifacetada que combina a monitorização, a análise e a utilização de ferramentas de segurança avançadas. As principais estratégias incluem:

  • Monitorização das tentativas de início de sessão. Um dos principais indicadores de um ataque de adivinhação de palavra-passe é um número invulgarmente elevado de tentativas de início de sessão falhadas. Os sistemas de monitorização devem ser configurados para alertar os administradores para um número excessivo de tentativas de início de sessão falhadas, especialmente quando estas ocorrem em rápida sucessão ou durante horas invulgares.
  • Analisar os padrões de início de sessão. Para além do volume de tentativas de início de sessão, é importante analisar os padrões dessas tentativas. Isto inclui a avaliação de tentativas de início de sessão a partir de localizações invulgares, inícios de sessão a horas atípicas e inícios de sessão em contas de elevado valor ou sensíveis. Esta análise pode revelar tentativas mais sofisticadas de adivinhação de palavras-passe ou casos em que os atacantes possam estar a utilizar credenciais roubadas.
  • Análise do ficheiro de registo. Os registos podem fornecer informações detalhadas sobre tentativas de autenticação, incluindo endereços IP de origem, carimbos de data/hora e detalhes da conta do utilizador. A análise destes registos pode ajudar a identificar potenciais actividades de adivinhação de palavras-passe e outros comportamentos suspeitos. No entanto, tenha em atenção que muitos ataques são hábeis a evitar a deteção baseada em registos.
  • Ferramentas de segurança de rede. Utilize ferramentas de segurança de rede, como sistemas de deteção de intrusão (IDS), sistemas de prevenção de intrusão (IPS) e soluções de gestão de eventos e informações de segurança (SIEM). Estas ferramentas podem fornecer uma análise em tempo real do tráfego de rede e dos dados de registo, ajudando a detetar e a alertar para potenciais ataques de adivinhação de palavras-passe - embora, mais uma vez, possam não detetar determinadas ameaças.
  • Monitorização específica da conta. Preste especial atenção às contas que são conhecidas por serem alvos de elevado valor, como as contas de Administrador do domínio.
  • Proteção dos pontos terminais. Implemente soluções de proteção de terminais que possam detetar e alertar para actividades suspeitas em estações de trabalho e servidores individuais. Isto inclui a monitorização de processos ou aplicações invulgares que possam ser indicativos de uma conta comprometida.

Como atenuar os ataques de adivinhação de palavras-passe

A resposta a ataques de adivinhação de palavras-passe em ambientes Active Diretory requer uma abordagem abrangente que inclua a aplicação de políticas, a formação dos utilizadores e controlos técnicos.

Implementar políticas de autenticação multifactor e de bloqueio de contas

A autenticação multifactor (MFA) acrescenta uma camada adicional de segurança, exigindo uma segunda forma de verificação para além da palavra-passe. Isto pode reduzir significativamente o risco de acesso não autorizado, mesmo que uma palavra-passe seja comprometida.

As políticas de bloqueio de conta bloqueiam temporariamente uma conta após um determinado número de tentativas de início de sessão falhadas. Isto pode ajudar a evitar ataques de força bruta, limitando o número de tentativas que um atacante pode fazer num determinado período.

Cumprir as actuais diretrizes de segurança das palavras-passe

O cumprimento das diretrizes definidas por agências como o NIST pode melhorar a segurança das palavras-passe. Isto inclui a aplicação de Políticas de Palavra-passe Finas (FGPP) no AD, que lhe permite aplicar diferentes políticas de palavra-passe a diferentes grupos de utilizadores, garantindo que as contas privilegiadas têm requisitos mais rigorosos. Todos os principais fornecedores de gestores de palavras-passe incluem geradores para o ajudar.

Aplicar políticas de palavra-passe sólidas

As políticas devem obrigar à utilização de palavras-passe ou frases-passe complexas que sigam as orientações das melhores práticas. Idealmente, o comprimento mínimo da palavra-passe deve ser superior aos tradicionais 8 caracteres, uma vez que as palavras-passe mais longas aumentam significativamente a dificuldade dos ataques de adivinhação de palavras-passe.

As frases-chave são uma opção ainda melhor. Estas são geralmente mais longas e podem ser mais seguras e fáceis de memorizar, reduzindo assim a probabilidade de reutilização da palavra-passe ou de palavras-passe simples e fáceis de adivinhar. A utilização de uma frase-chave em vez de uma palavra-passe longa, complexa e difícil de memorizar é recomendada por várias razões, principalmente em torno do equilíbrio entre segurança e facilidade de memorização.

Mas devem ser tomadas medidas para aplicar essas políticas. Por exemplo, considere a proibição de senhas comuns. Para ambientes que incluem o Entra ID, o Microsoft Entra Password Protection oferece assistência com essas etapas. Filtros de senha do Active Diretory de terceiros também estão disponíveis para ajudá-lo a banir senhas comumente usadas (e, portanto, comumente adivinhadas).

Educar e formar os utilizadores

Realize sessões de formação regulares e programas de sensibilização para todos os utilizadores, incluindo os que têm acesso privilegiado. Informe-os sobre a importância da segurança das palavras-passe, os riscos de palavras-passe fracas e as melhores práticas para criar palavras-passe ou frases-passe fortes e memoráveis.

Secure Active Diretory e Entra ID

Para combater eficazmente os ataques de adivinhação de palavras-passe em ambientes AD, os administradores e os especialistas em cibersegurança têm de implementar uma série de medidas proactivas. Os principais passos acionáveis incluem:

  • Realizar auditorias regulares às contas e privilégios dos utilizadores. Certifique-se de que as contas, especialmente aquelas com privilégios elevados, recebem apenas o acesso necessário para as suas funções e que quaisquer permissões desnecessárias são revogadas. A ferramenta gratuita Purple Knight da Semperis é uma forma rápida e simples de detetar privilégios excessivos e inclui indicadores de segurança para detetar utilizadores privilegiados com políticas de palavra-passe fracas e outras configurações arriscadas relacionadas com palavras-passe.
  • Automatize a monitorização e a reversão. Monitore os sinais de ataques de adivinhação de senha, como várias tentativas de login com falha, tentativas de login de locais incomuns ou padrões de acesso atípicos. O ideal é usar uma ferramenta que possa detetar ataques furtivos e padrões de ataque no AD e no Entra ID e que forneça a opção de configurar alertas e notificações ou até mesmo reverter alterações arriscadas no Active Diretory até que você possa confirmar que elas são legítimas.
  • Planear uma resposta eficaz a incidentes. Desenvolva e mantenha um plano de resposta a incidentes que inclua procedimentos para responder a ataques suspeitos de adivinhação de palavras-passe. Este plano deve detalhar as etapas de contenção, erradicação, recuperação e análise forense de identidade pós-incidente.

Instantâneo da Semperis

Os ataques de adivinhação de palavras-passe em ambientes AD exploram configurações incorrectas e palavras-passe fracas, podendo conduzir a violações significativas e permitir movimentos laterais e o aumento de privilégios. A compreensão destes riscos e a implementação de estratégias de deteção e atenuação direcionadas são cruciais para a proteção contra estes ataques.

Os administradores do Active Diretory e os especialistas em segurança cibernética devem permanecer vigilantes e proteger proativamente suas redes contra essas ameaças generalizadas. Ao implementar estratégias de atenuação, as organizações podem reduzir significativamente o risco de ataques de adivinhação de palavras-passe e melhorar a segurança geral dos seus ambientes AD.