Den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og Federal Bureau of Investigation (FBI) har udgivet en fælles advarsel om, at Rusland-støttede har hacket netværket af en unavngiven ikke-statslig enhed ved at udnytte en kombination af fejl.
“Så tidligt som i maj 2021, benyttede russiske statsstøttede cyberkriminelle sig af en fejlkonfigureret konto indstillet til standard MFA-protokoller på en ikke-statslig organisation (NGO), så de kan tilmelde en ny enhed til MFA og få adgang til offeret netværk,” siger agenturerne.
“Hackerne udnyttede derefter en kritisk Sårbarhed i Windows Print Spooler, ‘PrintNightmare’ (CVE-2021-34527) til at køre vilkårlig kode med systemrettigheder.”
Angrebet blev trukket ud ved at få indledende adgang til offerorganisationen via kompromitterede legitimationsoplysninger – opnået ved hjælp af en brute-force password-gætte-angreb – og tilmelde en ny enhed i organisationens Duo MFA.
Det er også bemærkelsesværdigt, at den overtrådte konto var afskrevet fra Duo på grund af en lang periode med inaktivitet, men endnu ikke var blevet deaktiveret i NGO’ens Active Directory, hvilket gjorde det muligt for hackerne at eskalere deres privilegier ved hjælp af PrintNightmare fejl og deaktivere MFA service helt.
“Som Duo’s standard konfigurationsindstillinger giver mulighed for re-tilmelding af en ny enhed til hvilende konti, aktørerne var i stand til at tilmelde en ny enhed til denne konto, udfylde autentificering krav, og få adgang til offeret netværk,” forklarer agenturerne.
Ved at deaktivere MFA tillod de statsstøttede aktører at godkende ngo’ens virtuelle private netværk (VPN) som ikke-administratorbrugere, oprette forbindelse til Windows-domænecontrollere via RDP (Remote Desktop Protocol) og få legitimationsoplysninger til andre domænekonti.
I den sidste fase af angrebet blev de nyligt kompromitterede konti efterfølgende brugt til at bevæge sig sideværts på tværs af netværket for at opsuge data fra organisationens skylagrings- og e-mail-konti.
For at afbøde sådanne angreb anbefaler både CISA og FBI at gennemtvinge og gennemgå politikker for konfiguration af godkendelse med flere faktorer, deaktivere inaktive konti i Active Directory og prioritere programrettelser for kendte udnyttede fejl.