ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Rusya destekli tehdit aktörlerinin bir dizi kusurdan yararlanarak isimsiz bir sivil toplum kuruluşunun ağını hacklediğine dair ortak bir tavsiye uyarısı yayınladı.
“Mayıs 2021 gibi erken bir tarihte, Rus devlet destekli siber aktörler, varsayılan olarak ayarlanmış yanlış yapılandırılmış bir hesaptan yararlandı. [multi-factor authentication] Bir sivil toplum kuruluşundaki (STK) protokoller, MFA için yeni bir cihaz kaydetmelerine ve kurban ağına erişmelerine izin veriyor,” ajanslar dedim.
“Oyuncular daha sonra sistem ayrıcalıklarıyla rastgele kod çalıştırmak için kritik bir Windows Yazdırma Biriktiricisi güvenlik açığı olan ‘PrintNightmare’ (CVE-2021-34527)’den yararlandı.”
Saldırı, kurban kuruluşa, güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla (kaba kuvvetle parola tahmin etme saldırısı yoluyla elde edilen) ilk erişim sağlanarak ve kuruluşun İkili MFA.
Ayrıca, ihlal edilen hesabın uzun bir süre işlem yapılmaması nedeniyle Duo’dan kaydının kaldırılmış olması, ancak STK’nın Active Directory’sinde henüz devre dışı bırakılmamış olması, böylece saldırganların PrintNightmare kusurunu kullanarak ayrıcalıklarını yükseltmesine ve MFA hizmetini devre dışı bırakmasına izin vermesi de dikkate değerdir. tamamen.
Ajanslar, “Duo’nun varsayılan yapılandırma ayarları, hareketsiz hesaplar için yeni bir cihazın yeniden kaydedilmesine izin verdiğinden, oyuncular bu hesap için yeni bir cihaz kaydettirebildi, kimlik doğrulama gereksinimlerini tamamlayabildi ve kurban ağına erişim elde edebildi” dedi. .
MFA’nın kapatılması, sırayla, devlet destekli aktörlerin, STK’nın sanal özel ağında (VPN) yönetici olmayan kullanıcılar olarak kimlik doğrulamasına, Uzak Masaüstü Protokolü (RDP) aracılığıyla Windows etki alanı denetleyicilerine bağlanmasına ve diğer etki alanı hesapları için kimlik bilgileri almasına izin verdi. .
Saldırının son aşamasında, güvenliği ihlal edilmiş yeni hesaplar, daha sonra, kuruluşun bulut depolama ve e-posta hesaplarından verileri sifonlamak için ağ üzerinde yanal olarak hareket etmek için kullanıldı.
Bu tür saldırıları azaltmak için hem CISA hem de FBI, kuruluşlara çok faktörlü kimlik doğrulama yapılandırma politikalarını uygulamalarını ve gözden geçirmelerini, Active Directory’de etkin olmayan hesapları devre dışı bırakmalarını ve yama uygulamasına öncelik vermelerini tavsiye ediyor. bilinen istismar edilen kusurlar.
