FBI ve CISA, MFA ve PrintNightmare Bug'ı Sömüren Rus Hackerlara Karşı Uyarıyor

FBI ve CISA, MFA ve PrintNightmare Bug'ı Sömüren Rus Hackerlara Karşı Uyarıyor

 




ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Rusya destekli tehdit aktörlerinin bir dizi kusurdan yararlanarak isimsiz bir sivil toplum kuruluşunun ağını hacklediğine dair ortak bir tavsiye uyarısı yayınladı.

"Mayıs 2021 gibi erken bir tarihte, Rus devlet destekli siber aktörler, bir sivil toplum kuruluşunda (STK) varsayılan [çok faktörlü kimlik doğrulama] protokollerine ayarlanmış yanlış yapılandırılmış bir hesaptan yararlanarak, MFA için yeni bir cihaz kaydetmelerine ve erişim sağlamalarına izin verdi. kurban ağı" dedi ajanslar .

"Oyuncular daha sonra sistem ayrıcalıklarıyla rastgele kod çalıştırmak için kritik bir Windows Yazdırma Biriktiricisi güvenlik açığı olan 'PrintNightmare' ( CVE-2021-34527 )'den yararlandı."

Saldırı, kurban kuruluşa, güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla (brute-force parola tahmin etme saldırısı yoluyla elde edilen) ilk erişim sağlanarak ve kuruluşun Duo MFA'sına yeni bir cihaz kaydedilerek gerçekleştirildi .

Ayrıca, ihlal edilen hesabın uzun bir süre işlem yapılmaması nedeniyle Duo'dan kaydının kaldırılmış olması, ancak STK'nın Active Directory'sinde henüz devre dışı bırakılmamış olması, böylece saldırganların PrintNightmare kusurunu kullanarak ayrıcalıklarını yükseltmesine ve MFA hizmetini devre dışı bırakmasına izin vermesi de dikkate değerdir. tamamen.

Ajanslar, "Duo'nun varsayılan yapılandırma ayarları, hareketsiz hesaplar için yeni bir cihazın yeniden kaydedilmesine izin verdiğinden, oyuncular bu hesap için yeni bir cihaz kaydettirebildi, kimlik doğrulama gereksinimlerini tamamlayabildi ve kurban ağına erişim elde edebildi" dedi. .

MFA'nın kapatılması, sırayla, devlet destekli aktörlerin, STK'nın sanal özel ağında (VPN) yönetici olmayan kullanıcılar olarak kimlik doğrulamasına, Uzak Masaüstü Protokolü (RDP) aracılığıyla Windows etki alanı denetleyicilerine bağlanmasına ve diğer etki alanı hesapları için kimlik bilgileri almasına izin verdi. .

Saldırının son aşamasında, güvenliği ihlal edilmiş yeni hesaplar, daha sonra, kuruluşun bulut depolama ve e-posta hesaplarından verileri sifonlamak için ağ üzerinde yanal olarak hareket etmek için kullanıldı.

Bu tür saldırıları azaltmak için hem CISA hem de FBI, kuruluşlara çok faktörlü kimlik doğrulama yapılandırma politikalarını uygulamalarını ve gözden geçirmelerini, Active Directory'deki etkin olmayan hesapları devre dışı bırakmalarını ve bilinen açıklardan yararlanılan kusurlar için yama uygulamasına öncelik vermelerini tavsiye ediyor .

Bu yayınları beğenebilirsiniz