La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado una advertencia conjunta de que los actores de amenazas respaldados por Rusia piratearon la red de una entidad no gubernamental no identificada al explotar una combinaci\u00f3n de fallas.<\/p>\n
“Ya en mayo de 2021, los actores cibern\u00e9ticos patrocinados por el estado ruso se aprovecharon de una cuenta mal configurada configurada como predeterminada [multi-factor authentication] protocolos en una organizaci\u00f3n no gubernamental (ONG), lo que les permite inscribir un nuevo dispositivo para MFA y acceder a la red de la v\u00edctima”, las agencias dijo<\/a>.<\/p>\n “Los actores luego explotaron una vulnerabilidad cr\u00edtica de Windows Print Spooler, ‘PrintNightmare’ (CVE-2021-34527) para ejecutar c\u00f3digo arbitrario con privilegios del sistema”.<\/p>\n El ataque se llev\u00f3 a cabo al obtener acceso inicial a la organizaci\u00f3n de la v\u00edctima a trav\u00e9s de credenciales comprometidas (obtenidas mediante un ataque de adivinaci\u00f3n de contrase\u00f1as de fuerza bruta) e inscribir un nuevo dispositivo en la organizaci\u00f3n. D\u00fao MFA<\/a>.<\/p>\n Tambi\u00e9n cabe se\u00f1alar que la cuenta violada se cancel\u00f3 en Duo debido a un largo per\u00edodo de inactividad, pero a\u00fan no se hab\u00eda deshabilitado en el Active Directory de la ONG, lo que permiti\u00f3 a los atacantes escalar sus privilegios utilizando la falla de PrintNightmare y deshabilitar el servicio MFA. en total.<\/p>\n “Como los ajustes de configuraci\u00f3n predeterminados de Duo permiten volver a inscribir un nuevo dispositivo para cuentas inactivas, los actores pudieron inscribir un nuevo dispositivo para esta cuenta, completar los requisitos de autenticaci\u00f3n y obtener acceso a la red de la v\u00edctima”, explicaron las agencias. .<\/p>\n Desactivar MFA, a su vez, permiti\u00f3 a los actores patrocinados por el estado autenticarse en la red privada virtual (VPN) de la ONG como usuarios no administradores, conectarse a los controladores de dominio de Windows a trav\u00e9s del Protocolo de escritorio remoto (RDP) y obtener credenciales para otras cuentas de dominio. .<\/p>\n En la etapa final del ataque, las cuentas reci\u00e9n comprometidas se utilizaron posteriormente para moverse lateralmente a trav\u00e9s de la red para desviar datos del almacenamiento en la nube y las cuentas de correo electr\u00f3nico de la organizaci\u00f3n.<\/p>\n Para mitigar tales ataques, tanto CISA como el FBI recomiendan a las organizaciones que apliquen y revisen las pol\u00edticas de configuraci\u00f3n de autenticaci\u00f3n de m\u00faltiples factores, deshabiliten las cuentas inactivas en Active Directory y prioricen la aplicaci\u00f3n de parches para defectos conocidos explotados<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n