ФБР предупредило об уязвимости в MFA, используемой хакерами для перемещения по сети

Специалисты Федерального бюро расследований сообщили о российских хакерах, которые в мае 2021 года получили доступ к облаку неправительственной организации путем регистрации своего устройства в Duo MFA. Киберпреступникам удалось достичь этого благодаря использованию некорректно настроенных протоколов многофакторной аутентификации (MFA) по умолчанию, пишет SecurityLab.

Кроме того, хакеры проэксплуатировали критическую уязвимость в диспетчере очереди печати Windows PrintNightmare (CVE-2021-34527) для запуска произвольного кода с системными привилегиями.

Хакеры использовали учетные данные, скомпрометированные в результате атаки методом подбора пароля, для доступа к незарегистрированной и неактивной учетной записи, на тот момент не отключенной в Active Directory организации.

«Поскольку настройки конфигурации Duo по умолчанию позволяют повторно зарегистрировать новое устройство для неактивных учетных записей, злоумышленники смогли выполнить требования аутентификации и получить доступ к сети жертвы. Учетная запись была удалена из Duo из-за длительного периода бездействия, но не была отключена в Active Directory», — говорится в сообщении ФБР.

Следующим шагом было отключение службы MFA путем перенаправления всех вызовов Duo MFA на локальную систему вместо сервера Duo после изменения файла контроллера домена. Это позволило злоумышленникам пройти аутентификацию в виртуальной частной сети (VPN) НПО в качестве пользователей без прав администратора, подключиться к контроллерам домена Windows через протокол удаленного рабочего стола (RDP) и получить учетные данные для других учетных записей домена.

Скомпрометированные учетные записи и обход MFA позволял киберпреступникам перемещаться по сети жертвы, получать доступ к облачному хранилищу и учетным записям электронной почты, а также похищать данные.

ФБР и CISA в совместной рекомендации по кибербезопасности призвали организации применить следующие защитные меры:

• Внедрить MFA и пересмотреть политики конфигурации для защиты от сценариев «сбой открытия» и повторной регистрации.

• Обеспечить одинаковое отключение неактивных учетных записей в системах Active Directory и MFA.

• Пропатчить все системы. Уделить приоритетное внимание установке исправлений для известных эксплуатируемых уязвимостей.