Password spray é uma técnica utilizada pelos invasores para adivinhar a senha de uma conta. Ao tentar um pequeno número de senhas altamente comuns em um grande número de contas, mantendo-se abaixo do limite de bloqueio definido pela organização, o invasor pode comprometer as contas sem privilégios elevados e provavelmente sem detecção.

Sua utilização vem sendo muito usada por atacantes, recentemente, devido a sua alta facilidade de comprometimento dos ambientes.

Cenários mais explorados

Durante a realização de um password spray temos os principais cenários que são explorados, sendo eles:

• Páginas web com formulário de login e senha na mesma página para acessar serviços de Webmail, SharePoint e portais;
• Office 365;
• Password spray de forma interna, como em kerberos e/ou serviços de SMB.

Durante este artigo, iremos realizar uma breve demonstração utilizando um desses pontos.

Definindo os requisitos

Conforme citamos anteriormente, o password spray consiste em realizarmos poucas requisições em diversas contas diferentes. Dessa forma, com uma base de usuários consideravelmente grande, o intervalo entre as tentativas de login para um mesmo usuário seriam bem distantes, evitando o bloqueio da conta do usuário.

Para a realização de um password spray são necessários apenas 3 pontos:

• Portal para testes (Office 365/ADFS/Webmail/SharePoint);
• Lista de usuários e/ou e-mails;
• Algumas senhas comuns.

Neste exemplo, utilizaremos o portal do Office 365 para a realização do password spray, visto que a sua resposta é um pouco diferente do comum. A dificuldade de realizar um password spray no Office 365 é que o formulário de login e senha não se encontram na mesma página. É necessário primeiramente inserir o login e, caso este seja válido, você será redirecionado para o formulário de senha.

Primeiramente, antes de iniciar os testes, o atacante precisa possuir uma base grande de e-mails da organização. Lembre-se: quanto maior a quantidade de e-mails, melhor.

A coleta de e-mails pode ser feita por diversas técnicas de reconhecimento do ambiente, sejam elas utilizando mídias sociais (como Linkedin) ou até mesmo ferramentas automatizadas que realizam essa captura de forma automática.

Como credencial, é comum utilizar padrões de senhas de organizações como, por exemplo: Empresa@2020, Mudar@123…

Realização do password spray

Para a realização do password spray no ambiente do Office 365, eu, Henrique Scocco, montei um docker com um script já pronto e modificado para realizar o ataque.

O tutorial de como baixar o docker e utilizar a ferramenta de forma mais detalhada se encontra no meu Docker Hub.

Ao baixar a ferramenta, com nossa lista de e-mails em mãos, basta executar o seguinte comando:

Dessa forma, o spray irá se iniciar e todas as contas de e-mail que estão no arquivo users.txt irão ser testadas com a senha Empresa@2020. Ao retornar positivo, o script irá mostrar o resultado na cor verde na tela para o usuário.

O script de spray permite, além de simplesmente realizar a autenticação, fornecer informações para o atacante se a conta possui múltiplo fator de autenticação ou não.

Impacto

Com a realização de um password spray de forma bem sucedida, o atacante consegue ter acesso a dados e serviços sensíveis de usuários como contas de e-mails, acesso em cloud, acesso a repositórios privados, etc.

Porém, vale lembrar que dentro de endereços de e-mails são trocadas informações confidenciais como senhas em texto claro e até mesmo acessos de VPNs. Portanto, por meio de um ataque tão simples, o atacante poderia até mesmo obter acesso ao ambiente interno da organização.

Prevenção

O ataque de password spray explora mais falhas humanas do que de sistemas web em si, portanto é importante ficar atento a algumas recomendações:

• Para aplicações de login da organização, aconselha-se aplicar sistemas de ReCaptcha para evitar/dificultar o ataque de ser feito de forma automatizada;
• Utilização de múltiplo fator de autenticação (MFA) para os usuários dos portais da organização;
• Evitar uso de senhas padrões como Empresa@2020, Trocar@123, Empresa@01…;
• Utilização de um serviço de SOC 24×7 para a monitorização de aplicações web expostas.

GatewayIT Security como solução

O uso do password spray por parte dos atacantes vem sendo muito comum durante este período de pandemia do COVID-19, visto que a maioria dos usuários que estão em “home office” receberam acessos de VPN via e-mail, portanto é preciso ficar atento ao ambiente exposto.

Para proporcionar mais segurança aos nossos clientes, a GatewayIT Security fornece um serviço de SOC 24×7 para, além de monitorar sistemas contra ataques de spray, também prover monitoramento sobre as aplicações e serviços de nossos clientes para diversos outros tipos de ataques e explorações, sejam elas internas ou externas.

Além disso, fornecemos serviços de password spray utilizando diversas técnicas avançadas para realizar o ataque, garantindo total segurança aos nossos clientes.