首页 > 安全 > 正文

俄罗斯联系的威胁演员利用默认的MFA协议和打印夜间错误来妥协非政府组织云

最后更新 :2022.03.16

FBI和CISA警告俄罗斯关联的威胁,在组织DUO MFA中注册自己的设备后,行动者获得了对非政府组织云的。

联邦调查局(FBI)和网络安全和基础设施安全机构(CISA) 警告说,俄罗斯联系的威胁参与者通过利用错误配置的默认多方面认证(MFA)协议获得了非政府组织(非政府组织)云,并在Cisco的Duo MFA组织中注册了自己的设备。

Nation-State演员通过利用默认的MFA协议和Windows打印假脱机程序漏洞“PrintnightMare”(CVE-2021-34527)来获得对网络的访问权限,读取咨询。

早在2021年5月份,攻击者利用了在非政府组织(非政府组织)的默认MFA协议中的错误配置帐户,允许他们为MFA注册新设备并访问受害者网络。

PrintNightMare漏洞的开发允许攻击者使用系统权限运行任意代码。俄罗斯国家赞助的网络演员在使用Cisco的Duo MFA瞄准NGO时成功地利用了该漏洞,使得能够访问云和电子邮件帐户的文档exfiltration。

为了损害目标网络,攻击者进行了攻击者强制密码猜测攻击对未注册和非活动帐户。与建议的最佳实践相反,该帐户仍处于Active Directory的组织中。

受害者帐户由于长期不活动而未注册DUO,但在Active Directory中未被禁用。随着DUO的默认配置设置允许重新注册休眠帐户的新设备,演员能够为此帐户注册新设备,完成身份验证要求,并获取对受害者网络的访问权限。阅读联合广告顾客。 

使用受损帐户,俄罗斯国家赞助的网络演员通过开发“Printnightmare”漏洞来获取管理员权限的特权升级。

一旦获得的管理员权限,攻击者修改了域控制器文件以将Duo MFA调用重定向到LocalHost,而不是合法的Duo服务器,以防止MFA服务联系其服务器验证MFA登录。

这个技巧允许攻击者完全禁用活动域帐户的MFA,因为如果MFA服务器无法访问,则Windows的默认策略是“失败打开”。 

在有效地禁用MFA,俄罗斯国家 - 赞助的网络演员能够成功地对受害者的虚拟专用网络(VPN)身份验证为非管理员用户,并使远程桌面协议(RDP)连接到Windows域控制器[T1133]。actors运行命令以获取凭据r其他域名帐户;然后使用前一段中描述的方法,更改了MFA配置文件并绕过了MFA,以获取这些新受损的帐户。继续分析。该演员利用大多数内部Windows Utilities已经存在于受害者网络中的内部Windows实用程序来执行此活动。

FBI和CISA共享指标妥协指标,以上攻击,并在加入咨询中提供了以下建议:

执行MFA对于所有用户,无需异常。在实施之前,组织应审查配置策略以防止“失败打开”和重新注册方案.IMPLEMENT超时和锁定功能响应重复失败的登录尝试。均匀禁止在Active Directory,MFA统一禁用不活动帐户Systems等软件,在IT网络资产上包括操作系统,应用程序和固件。优先处理补丁和nbsp;已知被剥削的vullnabil概述,尤其是关键和高漏洞,允许在面对互联网的设备上进行远程执行或拒绝服务。请使用密码登录(例如,服务帐户,管理员帐户和域管理帐户)具有强大,独特的所有帐户密码。密码不应在多个帐户中重复使用,或者存储在对手可能有访问的系统上。可用于可疑活动和未经授权的或不寻常的登录尝试的网络日志。用于所有更改的安全性帐户/组的可信安全警报策略,以及警报可疑过程创建事件(NTDSUTIL

,  RAR

, 

REGEDIT

等)。

- END -

看更多