17.03.2022 | ФБР предупредило об уязвимости в MFA, используемой хакерами для перемещения по сети |
Специалисты Федерального бюро расследований сообщили о российских хакерах, которые в мае 2021 года получили доступ к облаку неправительственной организации путем регистрации своего устройства в Duo MFA. Киберпреступникам удалось достичь этого благодаря использованию некорректно настроенных протоколов многофакторной аутентификации (MFA) по умолчанию. Кроме того, хакеры проэксплуатировали критическую уязвимость в диспетчере очереди печати Windows PrintNightmare ( CVE-2021-34527 ) для запуска произвольного кода с системными привилегиями. Хакеры использовали учетные данные, скомпрометированные в результате атаки методом подбора пароля, для доступа к незарегистрированной и неактивной учетной записи, на тот момент не отключенной в Active Directory организации. «Поскольку настройки конфигурации Duo по умолчанию позволяют повторно зарегистрировать новое устройство для неактивных учетных записей, злоумышленники смогли выполнить требования аутентификации и получить доступ к сети жертвы. Учетная запись была удалена из Duo из-за длительного периода бездействия, но не была отключена в Active Directory», — говорится в сообщении ФБР. Следующим шагом было отключение службы MFA путем перенаправления всех вызовов Duo MFA на локальную систему вместо сервера Duo после изменения файла контроллера домена. Это позволило злоумышленникам пройти аутентификацию в виртуальной частной сети (VPN) НПО в качестве пользователей без прав администратора, подключиться к контроллерам домена Windows через протокол удаленного рабочего стола (RDP) и получить учетные данные для других учетных записей домена. Скомпрометированные учетные записи и обход MFA позволял киберпреступникам перемещаться по сети жертвы, получать доступ к облачному хранилищу и учетным записям электронной почты, а также похищать данные. ФБР и CISA в совместной рекомендации по кибербезопасности призвали организации применить следующие защитные меры:
|
|
Проверить безопасность сайта
