FBI, CISA waarschuwen voor Russische hackers die misbruik maken van MFA en PrintNightmare Bug

FBI, CISA y hackers rusos Nachrichten

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) hebben een gezamenlijke waarschuwing uitgegeven dat door Rusland gesteunde dreigingsactoren het netwerk van een niet nader genoemde niet-gouvernementele entiteit hebben gehackt door een combinatie van fouten te misbruiken.

“Al in mei 2021 maakten Russische door de staat gesponsorde cyberactoren gebruik van een verkeerd geconfigureerd account dat standaard was ingesteld [multi-factor authentication] protocollen bij een niet-gouvernementele organisatie (NGO), waardoor ze een nieuw apparaat voor MFA kunnen inschrijven en toegang krijgen tot het slachtoffernetwerk”, aldus de agentschappen. zei.

“De acteurs maakten vervolgens misbruik van een kritieke Windows Print Spooler-kwetsbaarheid, ‘PrintNightmare’ (CVE-2021-34527) om willekeurige code met systeemrechten uit te voeren.”

De aanval werd afgemaakt door in eerste instantie toegang te krijgen tot de organisatie van het slachtoffer via gecompromitteerde inloggegevens – verkregen door middel van een brute-force aanval om wachtwoorden te raden – en door een nieuw apparaat in te schrijven in de organisatie Duo MFA.

Het is ook opmerkelijk dat het gehackte account was uitgeschreven bij Duo vanwege een lange periode van inactiviteit, maar nog niet was uitgeschakeld in de Active Directory van de NGO, waardoor de aanvallers hun privileges konden escaleren met behulp van de PrintNightmare-fout en de MFA-service konden uitschakelen allemaal samen.

“Omdat de standaardconfiguratie-instellingen van Duo het opnieuw inschrijven van een nieuw apparaat voor slapende accounts mogelijk maken, konden de acteurs een nieuw apparaat voor dit account inschrijven, aan de authenticatievereisten voldoen en toegang krijgen tot het slachtoffernetwerk”, legden de bureaus uit. .

Door MFA uit te schakelen, konden door de staat gesponsorde actoren zich authenticeren bij het virtual private network (VPN) van de NGO als niet-beheerdersgebruikers, verbinding maken met Windows-domeincontrollers via Remote Desktop Protocol (RDP) en referenties verkrijgen voor andere domeinaccounts .

In de laatste fase van de aanval werden de nieuwe gecompromitteerde accounts vervolgens gebruikt om lateraal over het netwerk te gaan om gegevens over te hevelen uit de cloudopslag en e-mailaccounts van de organisatie.

Om dergelijke aanvallen te beperken, raden zowel CISA als de FBI organisaties aan om het configuratiebeleid voor multi-factor authenticatie af te dwingen en te herzien, inactieve accounts in Active Directory uit te schakelen en prioriteit te geven aan patching voor bekende misbruikte fouten.

David
Rate author
Hackarizona