Novo recurso Wordfence protege contra ataques de vazamento de senha

  • Quinta, 1st Março, 2018
  • 00:00am

Para proteger melhor os sites que usam Wordpress, foi iniciado com muitos dados de fontes como a Equipe de Serviços de Segurança e a rede Wordfence. foram compreendidos e entender não apenas o que os atacantes estão fazendo, mas também como e por quê. As pesquisa em uma campanha recente revelou um método interessante de ataque e contribuiu para o desenvolvimento de um novo recurso.

Falhas de senha são uma fonte rica de informações para hackers

Durante os últimos anos, os hackers comprometeram uma ampla gama de organizações e colhidos detalhes da conta deles. Os detalhes quase sempre incluem nomes de usuários ou endereços de e-mail, juntamente com versões hash de senhas (ou pior ainda, senhas de texto simples). Essas contas comprometidas geralmente são compradas e vendidas na web escura, mas ocasionalmente elas também são divulgadas publicamente.

Para os hackers, o valor de uma conta de usuário roubada vai muito além de ser capaz de fazer logon no site comprometido. Os hackers sabem que é improvável que as pessoas usem as melhores práticas quando se trata de gerenciamento de senhas. Em outras palavras, eles são susceptíveis de usar senhas fracas e repetir as mesmas senhas em várias contas. Então, os hackers tentam explorar cada conta que possam seqüestrar com um determinado nome de usuário e senha.

Como já discutimos antes, os hackers podem fazer muito com um site seqüestrado . Nós escrevemos esse post há dois anos, mas todas essas atividades criminosas ainda estão acontecendo hoje, com a nova adição de ataques de criptografia. Os sites do WordPress ainda são alvos atraentes para hackers.

Contas vazadas usadas em campanhas de malware

Observamos algumas técnicas interessantes que os hackers usaram com contas vazadas durante as últimas semanas. Normalmente, eles enfrentariam vários obstáculos ao tentar assumir a conta de administrador do site WordPress:

  • Eles não conhecem o nome de usuário do administrador
  • Eles não conhecem a senha
  • Eles falham muitas vezes para fazer login, para que eles sejam bloqueados por plugins, servidores ou redes

Mas os vazamentos ajudaram alguns atacantes a superar esses obstáculos e encontrar contas válidas em muitos sites do WordPress. Imagine que Bob Smith executa um site WordPress em example.com. Se ele usou [email protected] como seu endereço de e-mail principal em um site cujas contas foram vazadas, seus detalhes no vazamento pareceriam algo assim:

[email protected]: pony123

Isso produz várias informações para os hackers usar: o endereço de e-mail de Bob, alguns nomes de usuários prováveis ​​e uma senha que ele usa (pony123). Alguns vazamentos publicados combinaram dados de vários outros vazamentos, produzindo duas ou mais contas que provavelmente pertencem à mesma pessoa. Se Bob usasse sua conta do Gmail em outro site comprometido, então o vazamento poderia parecer assim:

[email protected]: pony123
[email protected]: pony123456

Encontrando sites do WordPress nos vazamentos

Parece que os hackers estão usando uma abordagem direta para encontrar sites do WordPress entre as contas vazadas. No nosso exemplo, eles simplesmente conferem o example.com para ver se ele está executando o WordPress. Mas eles também parecem seguir os redirecionamentos: em um caso em que o example.com redireciona para example2.com, essas tentativas de login foram feitas contra o example2.com, embora nunca apareça nos vazamentos.

No entanto, observamos um toque interessante: às vezes, os endereços de e-mail em domínios completamente não relacionados (como o Gmail) estavam sendo usados ​​durante as tentativas de login. Neste exemplo, observamos [email protected] e pony123456 sendo tentado em example.com. Como os hackers sabiam para experimentá-lo? É improvável que eles realmente entraram na conta do Gmail e encontraram e-mails do WordPress lá; se tivessem, eles poderiam simplesmente ter usado o recurso "redefinir senha" para assumir o site. Em vez disso, nos casos que observamos, o endereço de e-mail foi efetivamente usado publicamente como um endereço de contato no registro de DNS do site. Em outras palavras, Bob usou [email protected] quando registrou o exemplo.com. Assim, os hackers podem estar pesquisando registros DNS para endereços de e-mail vazados para encontrar sites-alvo.

Obtendo nomes de usuários válidos dos vazamentos

Os atacantes que estão por trás da campanha mais recente usam endereços de e-mail para criar um pequeno conjunto de nomes de usuários que provavelmente serão usuários reais de usuários em sites-alvo. Primeiro eles tentam "admin", pois é o nome de usuário padrão, e presumivelmente o mais comum. Então, eles também tentam o endereço de e-mail completo (como [email protected]) e, em seguida, algumas variações na primeira parte do endereço de e-mail: um com todos os pontos removidos (bobsmith) e outro com qualquer coisa antes do primeiro ponto (prumo). No total, eles tentam apenas fazer logon quatro vezes. As contas vazadas dão-lhes uma chance muito maior de sucesso do que ataques de força bruta ou adivinham senhas comuns, mantendo o número de falhas pequenas o suficiente para não serem bloqueadas.

Vazamentos sendo usados

Temos cópias de vazamentos públicos, por isso conseguimos localizar a fonte de algumas das credenciais comprometidas usadas nos ataques. Muitos deles vieram do conjunto de 1,4 bilhões de contas vazadas em dezembro  (que inclui vários vazamentos anteriores). Do resto, cada um que checamos foi listado em pelo menos um vazamento no HaveIBeenPwned . Isso demonstra a tenacidade dos atacantes e a forma como eles podem encontrar valor mesmo em violações aparentemente não relacionadas.

O que foram feitos para abordar isso

Devido ao pequeno número de tentativas de login que esses atacantes fazem, a proteção padrão de login da força bruta não é suficiente para bloquear esses tipos de ataques. O Wordfence atualmente tem dois recursos adicionais que podem ter um efeito ao parar esse ataque: Autenticação de Dois Fator e "Imediatamente bloquear os nomes de usuários inválidos". Mas decidimos que precisávamos de uma ferramenta mais robusta para lidar com esses tipos de ataques completamente.

Então, introduzimos um novo recurso no Wordfence para bloquear logins para administradores que usam uma senha comprometida conhecida. Qualquer administrador que use uma senha anteriormente vista em uma violação precisará redefinir sua senha para fazer login. O novo recurso está disponível a partir de hoje com o lançamento do Wordfence 7.1.0.

foram iniciamos a integração da segurança de login do Wordfence com o banco de dados fornecido pela versão 2 da Troy Hunt da API Pwned Passwords . Troy construiu uma lista substancial de 501 milhões de senhas comprometidas em 270 violações. Sugerimos que você leia sua postagem descrevendo os novos recursos e dados que entraram nesta nova versão.

Melhorias de privacidade na versão 2 das senhas Pwned

Examinamos a integração das senhas Pwned no passado, mas relutam em arriscar o envio de dados inseguras sobre quaisquer senhas não comprometidas para um serviço de terceiros. As opções que a versão 1 da Pwned Passwords API forneceu permitiram que os usuários enviassem o hash SHA1 de uma senha (o que é inseguro, na medida em que o hashes de senha é) ou a senha de texto simples para verificar se ele foi usado em uma violação. A outra opção seria incluir a lista completa de senhas para compará-la à senha do usuário, mas isso não é possível incluir dentro do Wordfence, já que é cerca de 30GB de total de dados.

A Versão 2 das Senhas Pwned apresenta um novo recurso para detectar se uma senha está comprometida sem enviar informações suficientes sobre a senha para ser útil no caso de um hacker tentar reverter. Funciona enviando os primeiros 5 caracteres do SHA1 hash da senha para a API. A API responde com uma lista de todos os hashes SHA1 da lista completa de 501 milhões que começam com esses 5 caracteres. Ele acaba com a média de cerca de 475 hashes retornados para cada prefixo de 5 caracteres.

Para ilustrar com um exemplo:
O SHA1 hash da senha de Bob Smith "pony123" é E24F4B083C2F925CC894B2F04BAA7D83B7A5E669. Nós enviaríamos os primeiros 5 caracteres ( E24F4) para nossa API:


Podemos verificar se os restantes 35 caracteres do hash ( B083C2F925CC894B2F04BAA7D83B7A5E669) estão na lista e podemos ver que é o primeiro item da lista. O formato de cada item na lista é o sufixo de hash de 35 caracteres restante e o número de vezes que essa senha apareceu em brechas, para que possamos ver que a senha de Bob Smith foi vista 3299 vezes em brechas múltiplas por vários usuários. Provavelmente é uma boa idéia que Bob Smith (e qualquer outra pessoa que use "pony123") atualize sua senha.

Como vamos lançar esse recurso

Uma vez que temos o número de vezes que cada senha foi observada em todas as brechas, isso nos permite avaliar a gravidade da reutilização de senha e risco para o proprietário do site. Qualquer senha que tenha sido vista 10 ou mais vezes em brechas anteriores será bloqueada para iniciar sessão. Vamos expandir gradualmente isso para incluir todas as senhas no banco de dados na próxima semana.

Despedida da Auditoria de Senha

Com a introdução desta nova proteção de login, o Wordfence estará removendo o recurso de auditoria de senha. O dicionário de auditoria de senha foi baseado em listas de senha vazadas de violações. A funcionalidade fornecida pela auditoria de senha é principalmente redundante se pudermos impedir que as mesmas senhas comprometidas sejam usadas para entrar em primeiro lugar. Esta abordagem assume um papel mais ativo na prevenção de senhas fracas de uso malicioso.

Recomendações

Esta nova funcionalidade é habilitada por padrão para administradores. Para gerenciar as configurações deste recurso, faça login no seu painel de administração do WordPress e navegue até: Wordfence → Firewall → Gerencie a Proteção da Força Bruta → Impedir o uso de senhas vazadas em brechas de dados .

  1. Certifique-se de ter senhas fortes em todas as contas de usuários, especialmente o administrador. O Wordfence fornece uma opção para impor senhas fortes ao criar / atualizar uma conta de usuário em "Opções de segurança de login".
  2. Altere o nome de usuário do administrador do "administrador" padrão para algo mais difícil de adivinhar.
  3. Exclua todas as contas não utilizadas, especialmente as contas de administrador que você não usa. Isso reduz sua superfície de ataque.
  4. Ative a autenticação de dois fatores em todas as contas de administrador. Wordfence Premium fornece dois fatores .
  5. Verifique se o seu endereço de e-mail não faz parte de uma violação .
  6. Verifique se sua senha não foi exposta em uma violação .
  7. Não reutilize uma senha em vários serviços. Dessa forma, se sua senha de uma violação de dados aparecer neste banco de dados, ela não será a mesma da senha de administrador do WordPress ou em vários sites que você gerencia. Você pode usar um gerenciador de senhas como 1password para gerenciar muitas senhas em todos os serviços.

Gostou deste post? Compartilhe!

« Retornar




ico-whatsapp
Dúvidas por WhatsApp
ico-chat
Dúvidas por Web Chat
ico-ticket.png
Abrir ticket Suporte