Como as vulnerabilidades de autenticação de API estão no centro das preocupações de segurança na nuvem

Aug 25, 2023

Os serviços em nuvem da Microsoft têm sido examinados nos últimos meses, com as APIs no centro da questão. Aqui estão algumas estratégias para ajudar a mitigar problemas de segurança que podem surgir ao usar APIs.

O céu da computação em nuvem tem estado um tanto tempestuoso ultimamente para a Microsoft, que se viu na mira não apenas de um invasor que abusou da autenticação, mas também da empresa Tenable, que apontou que a gigante dos serviços em nuvem tem um problema geral com autenticação. Uma postagem da Microsoft e um artigo da Tenable destacaram a questão da autenticação na nuvem e iluminaram alguns de seus pontos fracos.

Na postagem da Tenable, a Microsoft foi criticada por sua falta de transparência na segurança da nuvem. Conforme descrito pelo CEO da Tenable, Amit Yoran, o problema em questão “ocorreu como resultado de controle de acesso insuficiente aos hosts do Azure Function, que são lançados como parte da criação e operação de conectores personalizados na Power Platform da Microsoft (Power Apps, Power Automation). "

Se você adivinhasse uma URL do Azure, poderia obter acesso mesmo sem autenticação. Como Yoran escreveu: "Portanto, era possível que um invasor que determinasse o nome do host da Função Azure associada ao conector personalizado interagisse com a função, conforme definido pelo código do conector personalizado, sem autenticação. Com um desses nomes de host, um invasor poderia determine os nomes de host do Azure Functions associados aos conectores personalizados de outros clientes, pois eles diferem apenas por um número inteiro."

Por sua vez, a Microsoft indicou em uma nota técnica que mitigou a vulnerabilidade de divulgação de informações do Power Platform Custom Code e notificou os clientes afetados sobre esse problema por meio do Microsoft 365 Admin Center (MC665159) a partir de agosto de 2023 – se você não recebeu a notificação, nenhuma ação é necessária.

As interfaces de programação de aplicativos (API), que oferecem um serviço ou conexão entre outros softwares sem a necessidade de login humano, estão no centro da questão. Com APIs, muitas vezes é difícil acessar a segurança até que algo aconteça.

Muitas vezes, as organizações precisam contratar consultores especializados para revisar o software e garantir que não haja vulnerabilidades óbvias. Do software de código aberto ao proprietário, a menos que seja revisado por especialistas, a análise do fornecedor por si só normalmente não é boa o suficiente para encontrar quaisquer problemas.

O Top 10 de segurança da API OWASP lista os principais problemas típicos que você deve procurar ao lidar com APIs. Variando desde autorização quebrada em nível de objeto até o consumo inseguro de APIs, ele ressalta que muitas vezes, com APIs, simplesmente confiamos demais em seu uso. Também tendemos a raramente limitar o uso de APIs porque oferecemos um serviço que pode ser usado pelo público em geral. Se o seu uso de APIs não for usado pelo público em geral, considere usar tecnologias adicionais atualmente em beta que possam proteger e defender adicionalmente.

Algumas dessas soluções, no entanto, ainda não estão em uso generalizado e ainda estão em pré-visualização pública. Um exemplo disso é a solução IP Firewall da Microsoft atualmente em versão prévia em ambientes Power Platform. Conforme observado na documentação da Microsoft, ajuda a mitigar ameaças internas, como a exfiltração de dados em tempo real. “Um usuário mal-intencionado que tenta baixar dados do Dataverse usando uma ferramenta cliente, como Excel ou Power BI, é impedido de baixar os dados com base na localização do IP.”

O IP Firewall também ajuda a impedir ataques de repetição de tokens de fora dos intervalos de IP configurados. “Se um usuário roubar um token e tentar usá-lo para acessar o Dataverse de fora dos intervalos de IP configurados, o acesso será negado pelo Dataverse em tempo real”, o IP Firewall funciona para cenários interativos e não interativos, está disponível para ambientes gerenciados, e é compatível com qualquer ambiente do Power Platform que inclua o Dataverse.

Muitas vezes, com APIs, os problemas de segurança se resumem ao básico:

Permissões. Não negligencie os princípios básicos das permissões da API e não permita que elas sejam muito permissivas nos serviços em nuvem. Assim como no acesso do usuário, as permissões básicas muitas vezes podem levar à exposição ou a ataques. Limitar a utilização do acesso ao mínimo necessário.