Хакеры использовали скомпрометированные учетные данные для доступа к неактивной учетной записи в Active Directory.
Специалисты Федерального бюро расследований сообщили о российских хакерах, которые в мае 2021 года получили доступ к облаку неправительственной организации путем регистрации своего устройства в Duo MFA. Киберпреступникам удалось достичь этого благодаря использованию некорректно настроенных протоколов многофакторной аутентификации (MFA) по умолчанию.
Кроме того, хакеры проэксплуатировали критическую уязвимость в диспетчере очереди печати Windows PrintNightmare ( CVE-2021-34527 ) для запуска произвольного кода с системными привилегиями.
Хакеры использовали учетные данные, скомпрометированные в результате атаки методом подбора пароля, для доступа к незарегистрированной и неактивной учетной записи, на тот момент не отключенной в Active Directory организации.
«Поскольку настройки конфигурации Duo по умолчанию позволяют повторно зарегистрировать новое устройство для неактивных учетных записей, злоумышленники смогли выполнить требования аутентификации и получить доступ к сети жертвы. Учетная запись была удалена из Duo из-за длительного периода бездействия, но не была отключена в Active Directory», — говорится в сообщении ФБР.
Следующим шагом было отключение службы MFA путем перенаправления всех вызовов Duo MFA на локальную систему вместо сервера Duo после изменения файла контроллера домена. Это позволило злоумышленникам пройти аутентификацию в виртуальной частной сети (VPN) НПО в качестве пользователей без прав администратора, подключиться к контроллерам домена Windows через протокол удаленного рабочего стола (RDP) и получить учетные данные для других учетных записей домена.
Скомпрометированные учетные записи и обход MFA позволял киберпреступникам перемещаться по сети жертвы, получать доступ к облачному хранилищу и учетным записям электронной почты, а также похищать данные.
ФБР и CISA в совместной рекомендации по кибербезопасности призвали организации применить следующие защитные меры:
-
Внедрить MFA и пересмотреть политики конфигурации для защиты от сценариев «сбой открытия» и повторной регистрации.
-
Обеспечить одинаковое отключение неактивных учетных записей в системах Active Directory и MFA.
-
Пропатчить все системы. Уделить приоритетное внимание установке исправлений для известных эксплуатируемых уязвимостей.
Внедрить MFA и пересмотреть политики конфигурации для защиты от сценариев «сбой открытия» и повторной регистрации.
Обеспечить одинаковое отключение неактивных учетных записей в системах Active Directory и MFA.
Пропатчить все системы. Уделить приоритетное внимание установке исправлений для известных эксплуатируемых уязвимостей.
Источник: securitylab