سوء استفاده هکرهای روسی از باگ MFA و PrintNightmare


5/5 - (1 امتیاز)

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دفتر تحقیقات فدرال (FBI) هشدار مشترکی را مبنی بر نفوذ گروه های هکری تحت حمایت روسیه به شبکه یک سازمان غیردولتی ناشناس با سوء استفاده ترکیبی از نقص های امنیتی (باگ MFA و PrintNightmare) منتشر کردند

این آژانس ها گفتند: «در اوایل اردیبهشت ماه 1400، گروه های سایبری تحت حمایت دولت روسیه از یک حساب کاربری (فاقد پیکربندی صحیح) که روی پروتکل‌ های پیش‌ فرض [Multi-Factor Authentication] یک سازمان غیردولتی (NGO) تنظیم شده بود، استفاده کردند تا دستگاه جدیدی را به MFA اضافه کنند و به شبکه قربانی دسترسی داشته باشند.»

سپس هکر ها از یک آسیب‌ پذیری مهم Windows Print Spooler، «PrintNightmare» (CVE-2021-34527) برای اجرای Arbitrary Code با Privilege های سیستم سوء استفاده کردند.»

این حمله سایبری با دسترسی اولیه به سازمان قربانی از طریق اعتبارنامه ای در معرض خطر – که با استفاده از یک حمله Brute-Force به دست آمده بود – و ثبت یک دستگاه جدید در Duo MFA سازمان انجام شد.

همچنین قابل توجه است که اکانت نقض شده به دلیل عدم فعالیت در یک دوره طولانی از Duo خارج شد، اما هنوز در Active Directory سازمان غیرفعال نشده بود، بنابراین مهاجمان می توانند Privilege های خود را با استفاده از نقص PrintNightmare افزایش دهند و سرویس MFA را به طور کلی غیر فعال کنند.

آژانس‌ ها توضیح دادند: «از آنجایی که تنظیمات پیکربندی پیش‌ فرض Duo امکان ثبت‌ نام مجدد یک دستگاه جدید را برای حساب‌ های غیر فعال فراهم می‌ کند، هکر ها توانستند دستگاه جدیدی را برای این حساب ثبت کنند، الزامات احراز هویت را تکمیل کنند و به شبکه قربانی دسترسی پیدا کنند.»

خاموش کردن MFA به نوبه خود به هکر ها تحت حمایت دولت اجازه داد تا به عنوان کاربرانی که Administrator نیستند به VPN سازمان احراز هویت کنند، از طریق پروتکل RDP به Windows Domain Controllers متصل شوند و اعتبارنامه‌ های Domain Account های دیگر را دریافت کنند.

در مرحله آخر حمله، حساب‌ های جدید به خطر افتاده برای جابجایی در سراسر شبکه به منظور جمع‌ آوری داده‌ های Cloud Storage و حساب‌ های ایمیل سازمان مورد استفاده قرار گرفتند.

برای کاهش چنین حملاتی، هم CISA و هم FBI به سازمان‌ ها توصیه می‌ کنند که سیاست‌ های Multi-Factor Authentication را اجرا و بررسی کنند، حساب‌ های غیرفعال را در Active Directory غیرفعال کنند و ایمن سازی نقص های شناخته شده را در اولویت قرار دهند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.