ФБР предупредило об уязвимости в MFA, используемой хакерами для перемещения по сети

ФБР предупредило об уязвимости в MFA, используемой хакерами для перемещения по сети

Хакеры использовали скомпрометированные учетные данные для доступа к неактивной учетной записи в Active Directory.

Специалисты Федерального бюро расследований сообщили о российских хакерах, которые в мае 2021 года получили доступ к облаку неправительственной организации путем регистрации своего устройства в Duo MFA. Киберпреступникам удалось достичь этого благодаря использованию некорректно настроенных протоколов многофакторной аутентификации (MFA) по умолчанию.

Кроме того, хакеры проэксплуатировали критическую уязвимость в диспетчере очереди печати Windows PrintNightmare ( CVE-2021-34527 ) для запуска произвольного кода с системными привилегиями.

Хакеры использовали учетные данные, скомпрометированные в результате атаки методом подбора пароля, для доступа к незарегистрированной и неактивной учетной записи, на тот момент не отключенной в Active Directory организации.

«Поскольку настройки конфигурации Duo по умолчанию позволяют повторно зарегистрировать новое устройство для неактивных учетных записей, злоумышленники смогли выполнить требования аутентификации и получить доступ к сети жертвы. Учетная запись была удалена из Duo из-за длительного периода бездействия, но не была отключена в Active Directory», — говорится в сообщении ФБР.

Следующим шагом было отключение службы MFA путем перенаправления всех вызовов Duo MFA на локальную систему вместо сервера Duo после изменения файла контроллера домена. Это позволило злоумышленникам пройти аутентификацию в виртуальной частной сети (VPN) НПО в качестве пользователей без прав администратора, подключиться к контроллерам домена Windows через протокол удаленного рабочего стола (RDP) и получить учетные данные для других учетных записей домена.

Скомпрометированные учетные записи и обход MFA позволял киберпреступникам перемещаться по сети жертвы, получать доступ к облачному хранилищу и учетным записям электронной почты, а также похищать данные.

ФБР и CISA в совместной рекомендации по кибербезопасности призвали организации применить следующие защитные меры:

  • Внедрить MFA и пересмотреть политики конфигурации для защиты от сценариев «сбой открытия» и повторной регистрации.

  • Обеспечить одинаковое отключение неактивных учетных записей в системах Active Directory и MFA.

  • Пропатчить все системы. Уделить приоритетное внимание установке исправлений для известных эксплуатируемых уязвимостей.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий