SolarWinds tedarik zinciri saldırısından sorumlu saldırganlar, sefaletlerine yeni bir ok ekledi: MagicWeb adlı, güvenliği ihlal edilmiş ortamlara sürekli erişimi sürdürmek ve yanal olarak hareket etmek için kullanılan, bir uzlaşma sonrası yetenek.
Microsoft’taki araştırmacılar, bir Active Directory Federated Services (AD FS) sunucusuna yönetici ayrıcalıkları kazandıktan sonra arka kapıyı kullanarak Rusya destekli Nobelium APT’yi gözlemlediler. Bu ayrıcalıklı erişimle, saldırganlar meşru bir DLL dosyasını MagicWeb kötü amaçlı DLL ile değiştirir, böylece kötü amaçlı yazılım AD FS tarafından yasalmış gibi yüklenir.
Etki alanı denetleyicileri gibi, AD FS sunucuları da kullanıcıların kimliğini doğrulayabilir. MagicWeb, bir AD FS sunucusu tarafından oluşturulan kimlik doğrulama belirteçlerinde iletilen taleplerin manipüle edilmesine izin vererek tehdit aktörleri adına bunu kolaylaştırır; böylece ağdaki herhangi bir kullanıcı olarak kimlik doğrulaması yapabilirler.
Microsoft’a göre MagicWeb, daha önce kullanılan özel FoggyWeb aracının daha iyi bir yinelemesidir ve aynı zamanda kurban ağlarında sallanması zor bir dayanak oluşturur.
Microsoft araştırmacıları, “MagicWeb, doğrudan gizli erişimi kolaylaştırarak FoggyWeb’in toplama yeteneklerinin ötesine geçiyor” dedi. “Golden SAML gibi saldırılarda kullanılan imzalama sertifikalarını değil, kimlik doğrulama için kullanılan kullanıcı kimlik doğrulama sertifikalarını manipüle ediyor.”
Şu an için MagicWeb kullanımı yüksek oranda hedeflenmiş görünüyor. Microsoft’un tavsiyesi.