Governo dos EUA libera guia para proteção contra ataques no Windows

O governo dos Estados Unidos, em parceria com outros dois países, publicou nesta semana um guia de melhores práticas para uso do recurso PowerShell, do Windows. A tecnologia, que costuma ser usada em tarefas de automação e pode até ser aliada da segurança digital, também vem sendo abusada em ataques que envolvem a execução remota de códigos maliciosos, com mudanças de configurações e cuidados sendo apontados como forma de evitar esse tipo de exploração.

• Os 5 métodos de ataque cibernético em que você precisa ficar de olho
• Ciberataques contra pequenas e médias empresas mais do que dobram no Brasil

O alerta conjunto é emitido pela CISA (Agência de Cibersegurança e Infraestrutura, na sigla em inglês) e pela NSA (Agência Nacional de Segurança, em inglês), juntamente com centros de defesa contra ciberataques da Nova Zelândia e Reino Unido. O resultado é uma série de recomendações que permitem a continuidade de uso do PowerShell sem que sua utilização represente risco, pelo contrário, a ferramenta pode até ajudar a aumentar as capacidades defensivas de uma organização e permitir um funcionamento melhor do sistema operacional.

O guia de melhores práticas está disponível online e traz dicas específicas para diferentes versões do PowerShell, de acordo com as capacidades de cada organização e o sistema operacional usado por cada uma delas. A recomendação é para que as organizações não desativem a plataforma completamente, mas sim, aproveitem as capacidades dela como mecanismo de proteção e, também, a configurem corretamente para evitar ataques que exploram tais brechas, tão comuns no cenário atual.

Guia traz dicas importantes para prevenir ataques no Windows

Uma das indicações, por exemplo, é o fechamento de portas e conexões para utilização de comandos remotos no sistema; o ideal é manter esse recurso ativado apenas para endpoints e redes conhecidas, impedindo que terceiros explorem a abertura ou se movam lateralmente pela rede. Aqui, a recomendação é pela criação de regras no firewall do Windows e a desabilitação do acesso a todos.

Além disso, para conexões desse tipo, é necessário o uso de certificados SSL e criptografia avançada, assim como um gerenciamento remoto de usuários sem senha ou que estejam em outras plataformas. O controle de aplicações também pode ser usado para reduzir o número de operações que podem ser executadas no sistema, mais uma vez de forma a bloquear a execução de códigos maliciosos, o movimento lateral ou qualquer outra operação que não esteja de acordo com o dia a dia da organização.

O governo dos EUA reforça ainda a necessidade de monitoramento e o acompanhamento de logs de acesso e operações, que ajudam a identificar sinais de abuso. Ferramentas como DSBL (Deep Script Block Logging) e OTS (Over-the-shoulder) ajudam a identificar atividades suspeitas e até comandos escondidos, sempre usados pelos criminosos em tarefas que eles desejam manterem ocultas; assim, apontam as autoridades, é possível ter visibilidade sobre todas as tarefas e compreender a movimentação de bandidos e os objetivos deles.

Para a NSA, o PowerShell é uma ferramenta essencial para a proteção de plataformas que rodem o sistema operacional Windows. A agência indica que, se possível, as corporações devem buscar as atualizações mais recentes do recurso, já que versões atuais não possuem limitações e têm mais espaço para customização, aumentando o arsenal de opções de proteção e monitoramento.

Fonte: Departamento de Defesa dos EUA