FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Rus ulus devlet bilgisayar korsanları geçen baharda bir sivil toplum kuruluşunda yanlış yapılandırılmış bir Cisco Duo çok faktörlü kimlik doğrulama (MFA) hesabından yararlandı ve kurbanın ağına sızmak için MFA ile kendi cihazlarını oluşturdular. Bu hafta ortak bir danışma toplantısında.
Saldırganlar, başlangıçta, kuruluşun MFA’sından kaldırılan bir dizi kullanıcı kimlik bilgilerine kaba kuvvetle başvurdu. Hileli bir hesap oluşturdular ve ardından bunu, ayrıcalıklı kullanıcı erişimini kullanarak kodlarını çalıştırmak için bilinen bir Windows Yazdırma Biriktiricisi güvenlik açığından, diğer adıyla PrintNightmare’den (CVE-2021-34527) yararlanmak için kullandılar ve çalmanın bir yolu olarak bulut ve e-posta hesaplarına erişebildiler. belgeler.
“Rus devlet destekli siber aktörler ilk erişim sağladı [TA0001] güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla kurban kuruluşa [T1078] ve kuruluşun Duo MFA’sına yeni bir cihaz kaydettirmek. Oyuncular kimlik bilgilerini aldı [TA0006] kaba kuvvet parola tahmin saldırısı yoluyla [T1110.001], basit, tahmin edilebilir bir parola ile kurban hesabına erişmelerine izin verir. Kurban hesabının uzun bir süre işlem yapılmaması nedeniyle Duo’daki kaydı silindi ancak Active Directory’de devre dışı bırakılmadı. Duo’nun varsayılan yapılandırma ayarları, atıl hesaplar için yeni bir cihazın yeniden kaydedilmesine izin verdiğinden, aktörler bu hesap için yeni bir cihaz kaydettirebildi, kimlik doğrulama gereksinimlerini tamamlayabildi ve kurban ağına erişim elde edebildi.” danışma diyor.
FBI ve CISA, bu tür bir yeniden kayıt eylemini önlemek için MFA politikalarını gözden geçirmenizi, Active Directory ve MFA sistemlerinde etkin olmayan hesapların devre dışı bırakıldığını doğrulamanızı ve tüm yazılımların güncellendiğinden, yamalandığından ve bilinen kusurlara açık olmadığından emin olmanızı önerir.