Entendendo a extração de senhas em texto simples
A extração de senhas em texto simples é a recuperação de credenciais em forma legível a partir de sistemas mal configurados, memória ou armazenamento inseguro. Um vetor chave são as Group Policy Preferences, onde arquivos XML no SYSVOL armazenavam historicamente senhas criptografadas que podem ser descriptografadas com uma chave AES conhecida publicamente. Ferramentas como Get-GPPPassword do PowerSploit automatizam a extração. Os atacantes usam as credenciais recuperadas para movimento lateral e escalonamento de privilégios. A defesa requer a remoção das senhas GPP, implantação do LAPS, aplicação de MFA e auditoria do SYSVOL para artefatos residuais de credenciais.
Attribute | Details |
|---|---|
|
Attack type |
Plaintext password extraction |
|
Impact level
|
High / Critical (domain compromise possible) |
|
Target |
Active Directory environments (via Group Policy Preferences) |
|
Primary attack vector |
Insecure credential storage in Group Policy XML files (SYSVOL), LSASS dumping |
|
Motivation
|
Credential theft, lateral movement, persistence, privilege escalation |
|
Common prevention methods |
Remove embedded GPP passwords, use Microsoft LAPS, patch Windows Server, apply PAM, enforce MFA |
Risk factor | Level |
|---|---|
|
Potential damage
|
Critical |
|
Ease of execution |
Medium–High |
|
Likelihood |
High |
Arquivos GPP legados podem estar expondo credenciais silenciosamente no seu ambiente?
Converse com nossos especialistas sobre a remoção de senhas em texto simples do SYSVOL, o fortalecimento das configurações do AD e a detecção de coleta de credenciais antes que ela escale.
O que é extração de senha em texto simples?
A extração de senha em texto simples é o processo pelo qual um invasor obtém as credenciais da conta em sua forma original e legível, ou seja, o texto real do nome de usuário/senha em vez de um hash ou token. Ao contrário das técnicas de coleta de credenciais que capturam blobs criptografados ou tokens de uso único, a extração em texto simples fornece senhas diretas que não requerem decodificação; portanto, oferecem acesso imediato. Isso reduz o tempo entre o comprometimento e o impacto, pois as senhas em texto simples podem ser rapidamente usadas para:
- Autentique-se como o proprietário da conta e faça login em serviços e sistemas.
- Ignore a autenticação de fator único e muitos controles legados.
- Pivotar de um host inicialmente comprometido para sistemas mais sensíveis.
- Colha credenciais adicionais de caixas de correio, arquivos de configuração e armazenamentos de backup após o login.
- Use credenciais coletadas (como contas de administrador local e contas de serviço com privilégios elevados) para obter maior controle sobre hosts, serviços e recursos de domínio.
Fontes comuns de credenciais em texto simples
Senhas em texto simples são encontradas onde sistemas e administradores as armazenam por conveniência ou onde o software as vaza involuntariamente. As fontes incluem:
- Memória LSASS: Alguns serviços e aplicações do Windows carregam credenciais na memória do processo LSASS enquanto estão em execução, onde segredos em texto simples podem permanecer legíveis na RAM.
- Registro: Aplicativos e instaladores às vezes gravam credenciais nas chaves de registro do Windows.
- Arquivos de configuração do aplicativo: Arquivos de configuração (por exemplo, appsettings.json, config.xml, .env) frequentemente contêm chaves de API codificadas, senhas de banco de dados e credenciais de serviço em texto simples para que os serviços possam iniciar automaticamente.
- Bancos de dados de aplicativos: Bancos de dados ocasionalmente armazenam strings de conexão e credenciais de serviço em texto simples dentro de tabelas de configuração, especialmente em aplicativos legados e personalizados.
- Pipelines de CI/CD: Pipelines de build e deployment podem expor credenciais por meio de variáveis codificadas, logs de pipeline e repositórios de artefatos não seguros quando os segredos não são gerenciados corretamente.
- Armazenamento do navegador: Senhas salvas em navegadores ou em gerenciadores de senhas pouco protegidos podem ser extraídas se um sistema for comprometido.
- Segredos na nuvem e chaves API: Serviços em nuvem e ambientes de desenvolvimento às vezes vazam credenciais armazenadas em texto simples dentro de variáveis de ambiente, templates IaC e repositórios de segredos desprotegidos.
- Arquivos de texto inseguros: Administradores e outros usuários às vezes mantêm senhas em notas de texto simples, planilhas ou arquivos .txt em unidades compartilhadas ou armazenamento na nuvem.
- Backups e snapshots: Backups de sistemas que continham credenciais em texto simples tornam-se outra fonte se não forem devidamente criptografados.
- Registros: A configuração incorreta do registro pode capturar nomes de usuário e senhas em texto simples.
O caso das Preferências de Diretiva de Grupo
GPP é um exemplo amplamente citado no mundo real de credenciais expostas em texto simples. GPP permitia que administradores configurassem contas locais, tarefas agendadas, mapeamentos de unidades e outras configurações centralmente por meio de arquivos XML armazenados no compartilhamento SYSVOL. GPP também suportava a incorporação de credenciais nesses arquivos XML. Essas senhas incorporadas eram criptografadas com uma chave AES estática que foi publicada na própria documentação MSDN da Microsoft. Essa chave tornou-se amplamente conhecida em 2012, tornando a descriptografia trivial com ferramentas como PowerSploit’s Get-GPPPassword. Isso significava que:
- Qualquer usuário de domínio autenticado poderia ler os arquivos XML no SYSVOL.
- A chave de criptografia estática e documentada publicamente tornava essas senhas armazenadas recuperáveis por qualquer pessoa.
- Como resultado, muitos ambientes tinham senhas de contas locais com privilégios elevados expostas a qualquer usuário do domínio, representando um risco de movimento lateral.
Em 2014, a Microsoft lançou o boletim de segurança MS14-025 para impedir a criação de novas políticas GPP com senhas incorporadas, mas não remove as existentes. Estas devem ser removidas manualmente pelos administradores. Como resultado, qualquer usuário de domínio com acesso básico pode explorar essa vulnerabilidade se arquivos GPP antigos permanecerem.
Como funciona a extração de senhas em texto simples?
A extração de senhas em texto simples segue um ciclo de vida padrão: obter uma base, descobrir onde os segredos estão, extrair credenciais utilizáveis, reutilizar essas credenciais para expandir o acesso e então escalar para privilégios mais altos e controle persistente. O caso GPP é um exemplo claro de como um recurso de conveniência (armazenar credenciais implantáveis centralmente) pode criar uma vulnerabilidade em toda a empresa que os invasores podem explorar.
Acesso inicial
Os atacantes começam com uma posição inicial na rede por meio de vetores comuns, como phishing, acesso a contas comprometidas, anexos maliciosos e serviços públicos vulneráveis.
Descoberta
Com acesso a um host no ambiente alvo, os atacantes realizam uma descoberta para encontrar onde as credenciais são armazenadas ou provisionadas. Em ambientes Active Directory (AD), SYSVOL e outras lojas de configuração replicadas centralmente são alvos atraentes porque contêm arquivos XML e outros usados para implantar configurações em muitas máquinas. Os arquivos XML do GPP historicamente continham credenciais incorporadas destinadas à implantação automatizada; esses arquivos eram legíveis por qualquer usuário autenticado em muitas configurações padrão, levando à exposição.
Extração
Extração refere-se à atividade de recuperar segredos armazenados em texto simples ou fracamente protegidos de arquivos de configuração, registros, memória e backups, transformando-os em credenciais utilizáveis. No exemplo do GPP, os atacantes podiam recuperar rapidamente as senhas reais porque estavam criptografadas com uma chave estática que a Microsoft havia tornado pública. Em um nível geral, a extração pode envolver a leitura de arquivos, a análise de formatos de configuração (como arquivos XML, JSON e INI) e a análise de artefatos de memória onde um aplicativo deixou segredos em texto simples.
Os atacantes costumam usar ferramentas automatizadas para extrair e descriptografar senhas GPP:
- O cmdlet
Get-GPPPassworddo PowerSploit: uma ferramenta baseada em PowerShell que procura no SYSVOL arquivos XML contendo o atributo cpassword e os descriptografa automaticamente usando a chave AES conhecida.: A PowerShell-based tool that searches SYSVOL for XML files containing the cpassword attribute and automatically decrypts them using the known AES key.Import-Module PowerSploit
Get-GPPPassword
- Módulo Metasploit (
post/windows/gather/credentials/gpp): Executa a mesma função dentro do framework Metasploit, facilitando para os atacantes enumerar e descriptografar todas as senhas GPP armazenadas em um único comando.
Estas ferramentas reduzem todo o ataque a um comando de uma linha, destacando como uma falha de design combinada com as ferramentas pode transformar uma vulnerabilidade em um risco generalizado.
Reutilizar
Uma vez que os atacantes obtêm credenciais em texto simples (por exemplo, uma senha de administrador local ou um segredo de conta de serviço), eles tentam reutilizá-las em hosts e serviços. A reutilização de credenciais permite o movimento lateral, onde o atacante se autentica em máquinas adicionais, acessa consoles administrativas e desbloqueia armazenamentos de dados.
Escalada
Com acesso lateral, os atacantes visam aumentar seus privilégios. Por exemplo, mover-se de um administrador local para privilégios em nível de domínio ou de uma conta de aplicativo para uma conta de serviço que pode acessar dados sensíveis. Os atacantes também podem despejar a memória LSASS para coletar credenciais adicionais de processos em execução e caches como parte da escalada de privilégios e persistência.
Diagrama do fluxo de ataque
Vamos ver um fluxo visual de extração de senhas em texto simples e um exemplo de história sob a perspectiva de uma organização que mostra como o ataque começa com uma conta de usuário comprometida e evolui para uma ameaça em todo o domínio.
Fluxo de ataque (geral)
Fluxo de ataque (perspectiva GPP)
Um agente de ameaça que compromete o laptop de um funcionário do help desk executa Get-GPPPassword em minutos após obter acesso. O SYSVOL fornece um arquivo groups.xml de 2013, ainda ativo, contendo uma senha de administrador local compartilhada em todos os servidores da organização. Na manhã seguinte, o invasor alcançou o servidor de arquivos, acessou a infraestrutura de backup e estabeleceu uma base em um controlador de domínio.
Exemplos de extração de senhas em texto simples
A extração de senhas em texto simples foi explorada em várias violações. Esses casos reais revelam como credenciais não seguras podem levar a comprometimentos generalizados.
Case | Impact |
|---|---|
|
BlackCat / ALPHV (2023) |
In 2023, BlackCat/ALPHV operators were observed using a utility (Munchkin) that included a |
|
Marriott international breach (2018) |
Attackers maintained long-term persistence in Marriott's Starwood guest reservation system for approximately four years (2014-2018) before discovery. The breach, attributed to a sophisticated APT group, exposed personal and passport details of approximately 339 million guests. Investigations revealed that attackers used Mimikatz to harvest credentials from memory and gain administrator privileges. Weak password hygiene and the absence of MFA on critical accounts made it easier for the attackers to escalate privileges and remain undetected for years. |
|
SolarWinds Orion supply chain attack (2020) |
Although the initial breach vector was the insertion of malicious code into Orion software updates, forensic investigations revealed that the attackers also exploited plaintext credentials stored in scripts, configuration files, and automation systems within affected networks. These exposed credentials enabled lateral movement, privilege escalation, and further compromise of sensitive systems, affecting approximately 18,000 customers, including multiple US government agencies. |
Consequências da extração de senhas em texto simples
Quando os atacantes conseguem extrair senhas em texto simples, as consequências podem ser de longo alcance. Porque as credenciais em texto simples revelam as senhas exatas dos usuários, elas concedem acesso imediato e irrestrito a contas e sistemas. O dano impacta a estabilidade financeira, as operações, a reputação e a posição legal.
Impact area | Description |
|---|---|
|
Financial
|
Attackers can use stolen credentials to commit fraud, initiate unauthorized transactions, and even deploy ransomware within the network. Recovery costs, ransom payments, forensic investigations, and compensation for affected customers can lead to significant financial losses. |
|
Operational |
Plaintext credentials can enable lateral movement across servers and critical infrastructure, resulting in domain-wide disruptions, system lockouts, and halted business operations. Attackers can escalate privileges to gain control over core IT systems. |
|
Reputational
|
Public disclosure of leaked passwords can erode customer and partner trust, especially when the breach exposes sensitive accounts and executive credentials. Organizations can face long-term brand damage and customer churn. |
|
Legal/regulatory |
Data exposure involving compromised accounts can violate privacy laws such as GDPR, HIPAA, and PCI DSS. Organizations may face regulatory fines, lawsuits, and increased scrutiny for failing to protect authentication data. |
Alvos comuns de extração de senha em texto simples: Quem está em risco?
Os ataques de extração de senhas em texto simples focam em sistemas e contas que armazenam, processam ou gerenciam dados de autenticação em forma clara ou recuperável. Tanto grandes empresas quanto organizações menores são vulneráveis quando a higiene básica de segurança é negligenciada. Alguns alvos comuns são:
Ambientes Active Directory
Active Directory é um alvo principal porque gerencia a autenticação em redes empresariais. Os atacantes podem extrair credenciais em texto simples de várias fontes (incluindo memória do sistema, armazenamentos de credenciais em cache, arquivos de configuração e hives do registro) para comprometer várias contas dentro do domínio.
Controladores de domínio e servidores Windows
Esses sistemas armazenam credenciais em cache e tokens de autenticação. Se comprometidos, podem expor senhas em texto simples e hashes que permitem que os atacantes se movam lateralmente pela rede.
Contas privilegiadas
Contas de administrador, contas de serviço e contas de administrador de domínio são alvos de alto valor. Uma vez que os atacantes obtêm senhas em texto simples, podem obter acesso irrestrito a infraestruturas críticas e dados sensíveis.
Sistemas e aplicações mal configurados
Serviços mal protegidos, aplicações legadas e sistemas com criptografia fraca frequentemente armazenam credenciais em texto simples dentro de arquivos de configuração, bancos de dados e arquivos de log. Esses locais de armazenamento permitem que os atacantes encontrem e extraiam senhas facilmente sem disparar alertas.
Pequenas e médias empresas (PMEs)
PMEs são vítimas comuns porque têm orçamentos de segurança limitados e práticas mais fracas de gerenciamento de credenciais. Os atacantes exploram sistemas desatualizados e vulnerabilidades não corrigidas para coletar senhas em texto simples.
Avaliação de risco
Ao avaliar o nível de risco da extração de senhas em texto simples, as organizações podem entender sua gravidade e gerenciar as defesas adequadamente.
Risk factor | Level |
|---|---|
|
Potential damage |
Critical |
|
Ease of execution
|
Medium-High |
|
Likelihood |
High |
Como evitar a extração de senhas em texto simples
Para evitar a extração de senhas em texto simples, as organizações devem remover fontes fáceis de credenciais, reforçar as configurações de contas e hosts e implementar controles compensatórios para limitar a capacidade de um atacante de reutilizar quaisquer credenciais que encontrar.
Remover senhas GPP incorporadas do SYSVOL
Historicamente, o Group Policy Preferences permitia que os administradores implantassem credenciais de contas locais, que eram armazenadas no SYSVOL dentro de arquivos de política XML como valores do atributo cpassword. Essas entradas de cpassword são facilmente reversíveis, o que significa que qualquer pessoa que tenha acesso ao arquivo XML pode descriptografar o valor e recuperar a senha em texto simples. Por essa razão, todas as senhas armazenadas no GPP devem ser removidas imediatamente.
- Identifique quaisquer arquivos GPP XML em
\\<domain>\SYSVOL\contendocpassword. - Remova ou substitua completamente a implantação de contas locais baseada em GPP e migre o gerenciamento de contas para mecanismos mais seguros, como o Local Administrator Password Solution (LAPS) da Microsoft.
- Após a remoção, documente a alteração e verifique a replicação para todos os controladores de domínio.
Dica rápida de detecção (PowerShell):
Get-ChildItem -Recurse '\\<domain>\SYSVOL' -Include *.xml |
Select-String -Pattern 'cpassword' -SimpleMatch
Use o LAPS da Microsoft para gerenciar a conta de administrador local
LAPS gerencia centralmente senhas únicas e aleatórias de administradores locais por máquina e as armazena com segurança em atributos do Active Directory com proteção ACL. Ao usar LAPS, você elimina a necessidade de armazenar senhas compartilhadas de administradores locais em texto simples. As organizações devem:
- Implemente agentes/políticas LAPS para que cada host tenha uma senha de administrador local única e rotacionada.
- Restrinja quem pode ler os atributos de senha gerenciados pelo LAPS usando AD ACLs e monitore o acesso a esses atributos.
- Integre o LAPS nos processos de integração/desligamento e documentação para que os funcionários o utilizem em vez de credenciais codificadas.
Mantenha o Windows Server atualizado e com os patches aplicados
Mantenha todos os controladores de domínio, servidores e endpoints atualizados com os patches de segurança mais recentes. Aplicar essas atualizações ajuda a evitar a incorporação de novas senhas em locais inseguros e mitiga vulnerabilidades legadas que podem expor credenciais.
- Teste e aplique atualizações de segurança e recursos regularmente.
- Priorize patches que abordem vulnerabilidades de autenticação, Active Directory e manipulação de memória.
- Mantenha um inventário das versões de OS suportadas e desative sistemas desatualizados que não recebem mais atualizações de segurança.
Não armazene senhas em texto simples em scripts e configurações
Credenciais em texto simples armazenadas em scripts, arquivos de configuração e pipelines de automação são um alvo fácil para atacantes. Remova-as e substitua por alternativas seguras.
- Use gerenciadores de segredos (vaults) ou armazenamentos de segredos nativos da plataforma (por exemplo, Azure Key Vault, AWS Secrets Manager).
- Quando o código precisar autenticar, use managed identities, service principals com tokens de curta duração ou autenticação baseada em certificado em vez de senhas incorporadas.
- Roteie segredos regularmente e escaneie repositórios de origem (incluindo logs de CI/CD e armazenamentos de artefatos) para exposição acidental.
Aplicar soluções MFA e Privileged Access Management
A autenticação multifator (MFA) e Privileged Access Management (PAM) reduzem o impacto de credenciais roubadas e limitam sessões privilegiadas.
- Exigir MFA para logins interativos, acesso remoto e tarefas administrativas sensíveis.
- Implemente Privileged Access Management/gerenciamento de acesso elevado para fornecer elevação just-in-time e limitada no tempo para administradores e terceiros.
- Registre e monitore falhas de MFA, solicitações de elevação e atividade de sessões privilegiadas.
Realizar auditorias de domínio para valores cpassword no SYSVOL
Auditorias regulares podem ajudar a encontrar configurações incorretas, portanto, faça delas parte da higiene padrão de segurança.
- Agende varreduras automáticas do SYSVOL e outros locais comuns para
cpassworde outros artefatos de credenciais. - Inclua verificações para credenciais em texto simples em arquivos de configuração, scripts e bancos de dados de aplicativos.
- Registre quaisquer descobertas relacionadas a credenciais no seu sistema de tickets ou de gerenciamento de patches, acompanhe as descobertas corrigidas e mantenha um registro de auditoria de todas as buscas e correções. Isso ajuda a verificar que as vulnerabilidades foram tratadas. Também fornece documentação para futuras revisões de segurança.
Como a Netwrix pode ajudar
No contexto do risco de extração de senhas em texto simples, as organizações podem implementar soluções especializadas para reduzir a exposição, detectar tentativas de ataque precocemente e corrigir vulnerabilidades no ambiente. Netwrix oferece um conjunto de ferramentas que se alinham a esses objetivos.
Netwrix Privilege Secure
Privilege Secure remove contas privilegiadas permanentes e aplica privilégios just-in-time, reduzindo assim a superfície de ataque que surge das credenciais administrativas estáticas. Fornece monitoramento e gravação abrangentes de sessões e suporta acesso com privilégios mínimos em servidores e endpoints.
Por meio da integração com LAPS e suporte para armazenamento seguro de credenciais, Privilege Secure ajuda a substituir credenciais de administrador local compartilhadas, que são uma fonte comum de risco de senha em texto simples. A solução também automatiza a criação/exclusão de contas privilegiadas para cada sessão e aplica MFA para fortalecer ainda mais os controles de acesso privilegiado.
Netwrix Threat Manager
Threat Manager foi projetado para detecção e resposta em tempo real a ameaças baseadas em identidade, privilégios e sistema de arquivos em ambientes como Active Directory e nuvem híbrida. Ele monitora padrões anormais de autenticação, abuso de credenciais e atividades suspeitas, como tentativas de ler SYSVOL e uso de Get-GPPPassword. Também pode disparar alertas e respostas automatizadas quando um invasor tenta explorar credenciais em texto simples ou se mover lateralmente dentro da rede.
Netwrix Access Analyzer
Com Access Analyzer, as organizações podem obter visibilidade sobre permissões, direitos de acesso, configurações legadas incorretas (como credenciais GPP remanescentes) e acesso arriscado a dados em ativos locais e na nuvem. Isso ajuda a descobrir configurações incorretas arriscadas do Active Directory e do Group Policy Object (GPO), incluindo as Group Policy Preferences legadas com senhas incorporadas. Ao detectar e priorizar esses problemas, o Access Analyzer permite a remediação proativa das condições sob as quais credenciais em texto simples podem existir.
Elimine as credenciais permanentes que possibilitam a extração de senhas em texto simples com Netwrix Privilege Secure. Baixe a versão de avaliação gratuita.
Estratégias de detecção, mitigação e resposta
Para uma proteção eficaz contra a extração de senhas em texto simples, as organizações devem desenvolver uma estratégia focada na detecção precoce, mitigação proativa e resposta rápida.
Detecção
A detecção precoce depende da identificação de padrões incomuns de autenticação e comportamento de acesso a arquivos que sinalizam atividade de coleta de credenciais. As equipes de segurança devem:
- Monitore a enumeração de compartilhamentos SYSVOL. Os invasores frequentemente navegam por essas pastas compartilhadas para localizar arquivos XML contendo credenciais incorporadas (
cpasswordentradas) e dados de configuração. - Detecte o uso suspeito de comandos PowerShell como
Get-GPPPassword. Esses comandos são usados para extrair senhas armazenadas das Group Policy Preferences. - Investigue o acesso incomum de leitura a vários arquivos XML de Group Policy e scripts de configuração. Acesso repetido ou em grande escala pode indicar scripts automatizados ou atividade de reconhecimento.
- Investigue o uso de ferramentas de despejo de credenciais seguido por tentativas suspeitas de autenticação e escalonamento de privilégios. Essa sequência frequentemente revela que os atacantes obtiveram credenciais em texto simples ou hash e estão tentando movimento lateral.
Mitigação
A mitigação foca em remover pontos de exposição e reduzir a capacidade do atacante de explorar credenciais em texto simples.
- Isole imediatamente contas e hosts comprometidos da rede para impedir movimentos laterais adicionais.
- Audite o SYSVOL e outros diretórios compartilhados em busca de senhas incorporadas e arquivos GPP mal configurados. Em seguida, redefina quaisquer credenciais descobertas em GPPs e arquivos de configuração para evitar reutilização.
- Revogue os mecanismos de persistência do invasor, como alterações não autorizadas nas ACLs do AdminSDHolder, tarefas agendadas e contas de serviço que podem permitir acesso contínuo.
- Aplique patches regularmente e limite os privilégios administrativos para reduzir a exposição e prevenir ataques futuros.
Resposta
Quando senhas em texto simples são expostas, a fase de resposta deve focar em eliminar todas as fontes de vazamento de credenciais e fortalecer o ambiente.
- Remova as credenciais incorporadas no GPP em todo o ambiente para eliminar senhas legadas em texto simples armazenadas no Group Policy Preferences.
- Implemente o LAPS da Microsoft para gerenciar com segurança contas de administrador local com senhas únicas e rotativas.
- Reforce as permissões do Active Directory para restringir o acesso a GPOs, políticas do sistema, grupos administrativos e objetos de configuração sensíveis.
- Ative a detecção e resposta de endpoint (EDR) e o monitoramento de gerenciamento de informações e eventos de segurança (SIEM) para detectar atividades de despejo de credenciais e comportamentos anormais de autenticação em tempo real.
- Treine os administradores para evitar armazenar senhas em Group Policy Objects, scripts e arquivos de configuração, reforçando práticas operacionais seguras.
Impacto específico do setor
O impacto da extração de senhas em texto simples varia entre os setores, dependendo do tipo de dados tratados e dos sistemas afetados. Em todos os setores, no entanto, credenciais comprometidas podem levar a danos operacionais, financeiros e de reputação.
Industry | Impact |
|---|---|
|
Healthcare
|
Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws. |
|
Finance |
Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses. |
|
Government
|
Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks. |
Evolução dos ataques e tendências futuras
As técnicas de extração de senhas em texto simples têm evoluído em resposta a defesas mais fortes e a uma mudança para ambientes de TI híbridos. Embora o princípio básico de roubar credenciais legíveis permaneça o mesmo, os métodos e alvos estão se expandindo para explorar erros humanos, configurações legadas e credenciais de nuvem mal gerenciadas.
Estatísticas principais e infográficos
Os dados a seguir podem ajudá-lo a entender o escopo e a prevalência de ataques relacionados a credenciais.
- O 2025 Verizon Data Breach Investigations Report (DBIR) revela que 22% das violações começaram com abuso de credenciais, tornando as credenciais roubadas ou mal utilizadas o ponto de entrada mais comum nos sistemas.
- O relatório também constatou que aproximadamente 88% dos ataques básicos a aplicações web envolveram credenciais roubadas.
- O script PowerShell Get‑GPPPassword é amplamente utilizado por equipes vermelhas e atores de ameaças. Ferramentas e documentação frequentemente o citam como um método padrão para recuperar senhas em texto simples incorporadas em arquivos XML do Group Policy Preferences (GPP) sob o compartilhamento SYSVOL. Como muitas organizações ainda possuem arquivos GPP antigos e políticas mal configuradas, essa ferramenta oferece aos atacantes uma rota fácil para credenciais locais e de domínio.
Vetores iniciais de ataque em violação de dados
O gráfico de pizza a seguir é baseado em dados do Verizon DBIR 2025. Ele mostra os vetores de ataque iniciais que levaram a uma violação de dados.
Principais conclusões:
- Credenciais roubadas continuam sendo o principal vetor de ataque inicial em 22% de todas as violações.
- A exploração de vulnerabilidades aumentou 34% ano a ano, agora representando 20% das violações.
- Phishing representa 16% dos vetores iniciais de violação.
Considerações finais
A extração de senhas em texto simples continua sendo uma das formas mais simples pelas quais os invasores ganham acesso a uma rede. A boa notícia é que a maioria das exposições é evitável. As organizações devem tratar a identidade como o perímetro principal. Proteja as contas e você interromperá a maioria das cadeias comuns de ataque. Comece com as vitórias rápidas (audite o SYSVOL, implante o LAPS, ative o MFA), depois incorpore a detecção contínua e os controles de acesso privilegiado em suas operações para se manter à frente das ameaças.
Perguntas frequentes
Compartilhar em
Ver ataques de cibersegurança relacionados
Abuso de Permissões de Aplicativos Entra ID – Como Funciona e Estratégias de Defesa
Modificação do AdminSDHolder – Como Funciona e Estratégias de Defesa
Ataque AS-REP Roasting - Como Funciona e Estratégias de Defesa
Ataque Hafnium - Como Funciona e Estratégias de Defesa
Ataques DCSync Explicados: Ameaça à Segurança do Active Directory
Ataques de exploração gMSA e ataques Golden gMSA explicados
Guia definitivo para ataques Golden SAML
Entendendo ataques Golden Ticket
Ataque DCShadow – Como Funciona, Exemplos Reais e Estratégias de Defesa
Injeção de Prompt do ChatGPT: Entendendo Riscos, Exemplos e Prevenção
Ataques de extração NTDS.dit explicados
Ataque de Kerberoasting – Como Funciona e Estratégias de Defesa
Entendendo ataques pass-the-hash (PtH)
Ataque Pass-the-Ticket Explicado: Riscos, Exemplos e Estratégias de Defesa
Entendendo ataques de password spraying
Vulnerabilidade Zerologon Explicada: Riscos, Explorações e Mitigação
Um guia completo para ataques de ransomware
Ataque Skeleton Key: como funciona e como detectá-lo
Movimento Lateral: O que é, Como Funciona e Prevenções
Ataques Man-in-the-Middle (MITM): O que São & Como Preveni-los
Por que o PowerShell é tão popular entre os atacantes?
4 ataques a contas de serviço e como se proteger contra eles
Como Prevenir que Ataques de Malware Afetem o Seu Negócio
O que é Credential Stuffing?
Comprometendo o SQL Server com PowerUpSQL
O que são ataques de Mousejacking e como se defender contra eles
Roubando Credenciais com um Provedor de Suporte de Segurança (SSP)
Ataques de Rainbow Table: Como Funcionam e Como se Defender Contra Eles
Um Olhar Abrangente sobre Ataques de Senha e Como Impedi-los
Reconhecimento LDAP
Bypassando MFA com o ataque Pass-the-Cookie
Ataque Silver Ticket