La Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis et le Federal Bureau of Investigation (FBI) ont publi\u00e9 un avertissement conjoint indiquant que des acteurs de la menace soutenus par la Russie ont pirat\u00e9 le r\u00e9seau d’une entit\u00e9 non gouvernementale anonyme en exploitant une combinaison de failles.<\/p>\n
“D\u00e8s mai 2021, des cyber-acteurs parrain\u00e9s par l’\u00c9tat russe ont profit\u00e9 d’un compte mal configur\u00e9 d\u00e9fini par d\u00e9faut [multi-factor authentication] protocoles d’une organisation non gouvernementale (ONG), leur permettant d’inscrire un nouvel appareil pour l’AMF et d’acc\u00e9der au r\u00e9seau de la victime \u00bb, les agences mentionn\u00e9<\/a>.<\/p>\n “Les acteurs ont ensuite exploit\u00e9 une vuln\u00e9rabilit\u00e9 critique du spouleur d’impression Windows, ‘PrintNightmare’ (CVE-2021-34527) pour ex\u00e9cuter du code arbitraire avec des privil\u00e8ges syst\u00e8me.”<\/p>\n L’attaque a \u00e9t\u00e9 lanc\u00e9e en obtenant un acc\u00e8s initial \u00e0 l’organisation victime via des informations d’identification compromises – obtenues au moyen d’une attaque de devinette de mot de passe par force brute – et en inscrivant un nouvel appareil dans l’organisation. Duo MFA<\/a>.<\/p>\n Il convient \u00e9galement de noter que le compte pirat\u00e9 a \u00e9t\u00e9 d\u00e9sinscrit de Duo en raison d’une longue p\u00e9riode d’inactivit\u00e9, mais n’avait pas encore \u00e9t\u00e9 d\u00e9sactiv\u00e9 dans l’Active Directory de l’ONG, permettant ainsi aux attaquants d’\u00e9lever leurs privil\u00e8ges en utilisant la faille PrintNightmare et de d\u00e9sactiver le service MFA. tout \u00e0 fait.<\/p>\n “Comme les param\u00e8tres de configuration par d\u00e9faut de Duo permettent la r\u00e9inscription d’un nouvel appareil pour les comptes inactifs, les acteurs ont pu inscrire un nouvel appareil pour ce compte, remplir les conditions d’authentification et obtenir l’acc\u00e8s au r\u00e9seau victime”, ont expliqu\u00e9 les agences. .<\/p>\n La d\u00e9sactivation de MFA, \u00e0 son tour, a permis aux acteurs parrain\u00e9s par l’\u00c9tat de s’authentifier aupr\u00e8s du r\u00e9seau priv\u00e9 virtuel (VPN) de l’ONG en tant qu’utilisateurs non administrateurs, de se connecter aux contr\u00f4leurs de domaine Windows via le protocole de bureau \u00e0 distance (RDP) et d’obtenir des informations d’identification pour d’autres comptes de domaine. .<\/p>\n Au stade final de l’attaque, les comptes nouvellement compromis ont ensuite \u00e9t\u00e9 utilis\u00e9s pour se d\u00e9placer lat\u00e9ralement sur le r\u00e9seau afin de siphonner les donn\u00e9es du stockage en nuage et des comptes de messagerie de l’organisation.<\/p>\n Pour att\u00e9nuer ces attaques, la CISA et le FBI recommandent aux organisations d’appliquer et de revoir les politiques de configuration de l’authentification multifacteur, de d\u00e9sactiver les comptes inactifs dans Active Directory et de donner la priorit\u00e9 aux correctifs pour failles exploit\u00e9es connues<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Les-logiciels-malveillants-piratant-les-medias-sociaux-se-propagent-via.png\")
<\/a><\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n