Imagine a seguinte situação: O pessoal da área de desenvolvimento de software acaba de desenvolver uma nova aplicação. Esta aplicação deve entrar em produção na próxima semana. Os usuários chaves da aplicação já testaram todos os recursos. Está tudo Ok! Porém, falta apenas um detalhe para que a aplicação entre em produção: a senha do usuário administrador da rede.

Pode parecer absurdo, mas é exatamente isso que ocorre em diversas empresas. Um dos usuários mais poderosos do ambiente computacional está “gravado” em diversas aplicações utilizadas pelos usuários comuns. Não podemos esquecer que este é o usuário que deveria ser utilizado apenas em alguns momentos de manutenção do ambiente computacional.

Os hackers sabem que isso acontece em muitas empresas. Os hackers sabem também que podem explorar vulnerabilidades nas aplicações para conseguir a senha do usuário “administrador”. Os ataques passam pelos firewalls tendo como alvo as aplicações. Os ataques não são mais direcionados para os sistemas operacionais.

Existe ainda um segundo cenário de vulnerabilidade nas aplicações. As equipes de desenvolvimento, preocupadas em facilitar a vida do usuário, implementam recursos de Single sign-on (SSO). O SSO permite que os usuários da rede acessem de modo único todos os recursos de rede autorizados. Ou seja, a senha só será solicitada uma única vez para todos os aplicativos de rede (e-mail, internet, sistema, etc). O recurso de SSO é excelente quando implementado de forma correta.

Qual a vulnerabilidade neste caso?

Quando o usuário liga o seu computador é solicitado o usuário e a senha para acessar a rede. Na área de trabalho do usuário, existe um ícone para acesso ao sistema da empresa. Quando o usuário clica duas vezes sobre o ícone para acessar a aplicação, o sistema verifica no registro do Windows qual usuário que está logado na máquina. Caso este usuário tenha permissão para acessar o sistema, a aplicação irá abrir sem solicitar o usuário e a senha, indicando que o recurso de SSO está funcionando.

Durante um teste de invasão executei o seguinte procedimento. O meu laptop estava conectado na rede do meu cliente (estava participando do projeto de segurança e teste de invasão). Eu conhecia o nome de alguns usuários da rede, inclusive o usuário do presidente da empresa. O meu laptop não estava no domínio de rede. Sendo assim, não era possível acessar a aplicação sem o usuário e a senha da rede. Criei, localmente no meu Windows, um novo usuário. O nome do usuário que criei era o mesmo do presidente da empresa.