Ostrzeżenie CISA i FBI: cyberprzestępcy sponsorowani przez państwo rosyjskie uzyskują dostęp do sieci, wykorzystując domyślne protokoły uwierzytelniania wieloskładnikowego i lukę w zabezpieczeniach „PrintNightmare”.

Hakerzy sponsorowani przez państwo rosyjskie wykorzystali sprytną technikę wyłączania uwierzytelniania wieloskładnikowego (MFA) i lukę w buforze drukowania w systemie Windows 10, w celu włamania się do sieci i pozyskania kont domenowych o wysokiej wartości. Cel? Dostęp do chmury i poczty e-mail ofiary.

Federalne Biuro Śledcze (FBI) i Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydały ostrzeżenie dotyczące działań przeprowadzanych przez rosyjskich hakerów. Poprzedzają one ostatnie ostrzeżenia dotyczące cyber-aktywności związanej z rosyjską inwazją wojskową na Ukrainie.

Już w maju 2021 r. hakerzy wykorzystali podatności w konfiguracji Duo MFA w organizacji pozarządowej (NGO) i krytyczny błąd w systemie Windows 10 PrintNightmare CVE-2021-34481, przez co udało im się skompromitować konto.

10 sierpnia 2021 firma Microsoft zakończyła analizę i opublikowała aktualizację zabezpieczeń usuwającą lukę PrintNightmare. Po wejściu do sieci luka umożliwiła atakującemu uruchomić dowolny kod z uprawnieniami SYSTEM. Atakujący może wówczas zainstalować programy, przeglądać, zmieniać lub usuwać dane lub nawet utworzyć nowe konta z pełnymi prawami administratora.

W przypadku organizacji pozarządowej użyte słabe hasło, umożliwiło atakującym przeprowadzenie ataku polegającego na zgadywaniu hasła, w celu uzyskania danych uwierzytelniających. Atakujący wykorzystali również fakt, że domyślne ustawienia konfiguracyjne Duo pozwalają na rejestrację nowego urządzenia dla nieaktywnych kont.

Rosyjscy Cyberprzestępcy uzyskali dostęp do organizacji za pomocą złamanych danych uwierzytelniających i zarejestrowania nowego urządzenia w Duo MFA. Proste, przewidywalne hasło” — było powodem uzyskania dostępu do infrastruktury poinformowała CISA.

Po zhakowaniu konta do gry wkroczył PrintNightmare, który został wykorzystany do eskalacji uprawnień dla bardziej zaawansowanego poziomu administratora, a następnie „skutecznie” wyłączono usługę MFA dla zhakowanego konta.

„Ta zmiana uniemożliwiła usłudze MFA skomunikowanie się z serwerem w celu zweryfikowania logowania MFA – to pozwoliło skutecznie wyłączyć usługę MFA dla aktywnych kont domeny, ponieważ domyślną zasadą Duo dla Windows jest „Niepowodzenie otwierania”, jeśli serwer MFA jest nieosiągalny” — wyjaśnia CISA i zauważa, że ​​problem „niepowodzenie otwierania” nie dotyczy tylko Duo MFA.

Operacja ta została powtórzona i zastosowana do kont domenowych o wyższej wartości. Po wyłączeniu MFA napastnicy uwierzytelnili się w sieci VPN, jako użytkownicy niebędący administratorami i nawiązali połączenia RDP z kontrolerami domeny Windows. Przechwycili poświadczenia dla dodatkowych kont domeny i przystąpili do zmiany pliku konfiguracyjnego usługi MFA, co pozwoliło im ominąć usługi MFA dla nowo zhakowanych kont.

„Korzystając z tych zhakowanych kont bez egzekwowania MFA, cyberprzestępcy byli w stanie przenieść się do środowiska uzyskując dostęp do przechowywanych w chmurze plików i kont e-mail ofiary” – wskazuje CISA.

CISA opublikowała kilka wskazówek i wytycznych dla organizacji:

Przed wdrożeniem rozwiązań MFA, organizacje powinny dokładnie zapoznać się z zasadami konfiguracji, aby zabezpieczyć się przed scenariuszami „awaryjnego otwarcia” i ponownej rejestracji.

Należy zaimplementować funkcje limitu czasu i blokady na powtarzające się nieudane próby logowania, upewnić się, że nieaktywne konta są wyłączane w systemach Active Directory i MFA.

Ciągłe aktualizowanie oprogramowania i ustalanie priorytetów łatania znanych i wykorzystywanych luk w zabezpieczeniach, zwłaszcza krytycznych i wysokiego poziomu, które umożliwiają przede wszystkim zdalne wykonanie kodu lub przeprowadzenie ataku typu „odmowa usługi” na sprzęcie z dostępem do Internetu.

Wszystkie konta usług, administratorów i konta administratorów domeny miały silne, unikatowe hasła.