La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado una advertencia conjunta de que los actores de amenazas respaldados por Rusia piratearon la red de una entidad no gubernamental no identificada al explotar una combinación de fallas.
“Ya en mayo de 2021, los actores cibernéticos patrocinados por el estado ruso se aprovecharon de una cuenta mal configurada configurada como predeterminada [multi-factor authentication] protocolos en una organización no gubernamental (ONG), lo que les permite inscribir un nuevo dispositivo para MFA y acceder a la red de la víctima”, las agencias dijo.
“Los actores luego explotaron una vulnerabilidad crítica de Windows Print Spooler, ‘PrintNightmare’ (CVE-2021-34527) para ejecutar código arbitrario con privilegios del sistema”.
El ataque se llevó a cabo al obtener acceso inicial a la organización de la víctima a través de credenciales comprometidas (obtenidas mediante un ataque de adivinación de contraseñas de fuerza bruta) e inscribir un nuevo dispositivo en la organización. Dúo MFA.
También cabe señalar que la cuenta violada se canceló en Duo debido a un largo período de inactividad, pero aún no se había deshabilitado en el Active Directory de la ONG, lo que permitió a los atacantes escalar sus privilegios utilizando la falla de PrintNightmare y deshabilitar el servicio MFA. en total.
“Como los ajustes de configuración predeterminados de Duo permiten volver a inscribir un nuevo dispositivo para cuentas inactivas, los actores pudieron inscribir un nuevo dispositivo para esta cuenta, completar los requisitos de autenticación y obtener acceso a la red de la víctima”, explicaron las agencias. .
Desactivar MFA, a su vez, permitió a los actores patrocinados por el estado autenticarse en la red privada virtual (VPN) de la ONG como usuarios no administradores, conectarse a los controladores de dominio de Windows a través del Protocolo de escritorio remoto (RDP) y obtener credenciales para otras cuentas de dominio. .
En la etapa final del ataque, las cuentas recién comprometidas se utilizaron posteriormente para moverse lateralmente a través de la red para desviar datos del almacenamiento en la nube y las cuentas de correo electrónico de la organización.
Para mitigar tales ataques, tanto CISA como el FBI recomiendan a las organizaciones que apliquen y revisen las políticas de configuración de autenticación de múltiples factores, deshabiliten las cuentas inactivas en Active Directory y prioricen la aplicación de parches para defectos conocidos explotados.