Avviso di consulenza congiunta sulla sicurezza informatica sugli attori informatici sponsorizzati dallo stato russo ottengono l’accesso alla rete sfruttando i protocolli di autenticazione a più fattori predefiniti e la vulnerabilità “PrintNightmare” (AA22-074A)

FortiGuard Labs è a conoscenza di un recente rapporto pubblicato dal Federal Bureau of Investigation (FBI) e dalla Cybersecurity and Infrastructure Security Agency (CISA) secondo cui gli attori informatici sponsorizzati dallo stato russo hanno ottenuto l’accesso alla rete di un’organizzazione non governativa (ONG) attraverso lo sfruttamento dei protocolli predefiniti Multi-Factor Authentication (MFA) e la vulnerabilità “PrintNightmare” (CVE-2021-34527). L’attacco ha provocato l’esfiltrazione di dati dagli account cloud ed e-mail dell’organizzazione target. Perché è significativo? Questo è significativo perché l’avviso descrive come un’organizzazione target è stata compromessa da cyber attori sponsorizzati dallo stato russo. L’avviso fornisce anche misure di attenuazione. Come si è verificato l’attacco? L’avviso fornisce la seguente sequenza di attacco: “I cyber attori sponsorizzati dallo stato russo hanno ottenuto l’accesso iniziale all’organizzazione della vittima tramite credenziali compromesse e registrando un nuovo dispositivo nel Duo MFA dell’organizzazione. Gli attori ottenuto le credenziali tramite un attacco di indovinare la password a forza bruta, consentendo loro di accedere a un account vittima con una password semplice e prevedibile. Poiché le impostazioni di configurazione predefinite di Duo consentono la nuova registrazione di un nuovo dispositivo per gli account dormienti, gli attori sono stati in grado di registrarsi un nuovo dispositivo per questo account, completare i requisiti di autenticazione e ottenere l’accesso alla rete della vittima. Utilizzando l’account compromesso, i cyber attori sponsorizzati dallo stato russo hanno eseguito l’escalation dei privilegi tramite lo sfruttamento della vulnerabilità “PrintNightmare” (CVE-2021-34527) per ott privilegi di amministratore. Gli attori hanno anche modificato un file del controller di dominio, c:windowssystem32driversetc hosts, reindirizzando le chiamate MFA Duo a localhost anziché al server Duo. Questa modifica ha impedito al servizio MFA di contattare il suo server per convalidare l’accesso MFA, questo ha effettivamente disabilitato MFA per gli account di dominio attivi perché il criterio predefinito di Duo per Windows è “Apertura non riuscita” se il server MFA non è raggiungibile. Nota: il “fail open” può verificarsi in qualsiasi implementazione dell’autenticazione a più fattori e non è esclusivo di Duo. Dopo aver effettivamente disabilitato l’autenticazione a più fattori, i cyber attori sponsorizzati dallo stato russo sono stati in grado di autenticarsi con successo alla rete privata virtuale (VPN) della vittima come utenti non amministratori e effettuare connessioni Remote Desktop Protocol (RDP) ai controller di dominio Windows. Gli attori hanno eseguito comandi per ottenere credenziali per account di dominio aggiuntivi; quindi utilizzando il metodo descritto nel paragrafo precedente, ha modificato il file di configurazione dell’autenticazione a più fattori e ha ignorato l’autenticazione a più fattori per questi account appena compromessi. Gli attori hanno sfruttato principalmente le utilità interne di Windows già presenti all’interno della rete della vittima per svolgere questa attività. Utilizzando questi account compromessi senza l’applicazione dell’AMF, gli attori informatici sponsorizzati dallo stato russo sono stati in grado di spostarsi lateralmente all’archiviazione cloud e agli account di posta elettronica della vittima e accedere al contenuto desiderato. “Qual è la vulnerabilità “PrintNightmare” (CVE-2021-34527)? La “vulnerabilità” di PrintNightmare era una vulnerabilità critica che interessava lo spooler di stampa di Microsoft Windows. Microsoft ha rilasciato un avviso fuori limite per la vulnerabilità il 6 luglio 2021. Microsoft ha rilasciato una patch per la vulnerabilità “PrintNightmare” (CVE-2021-34527)?Sì, Microsoft ha rilasciato una patch fuori limite per il Vulnerabilità “PrintNightmare” nel luglio 2021. A causa della sua gravità, Microsoft ha reso disponibili le patch per sistemi operativi non supportati come Windows 7 e Windows Server 2012. Lo sfruttamento riuscito della vulnerabilità consente a un attacco di eseguire codice arbitrario con privilegi di SISTEMA. Rilasciato FortiGuard Labs un avviso di focolaio e un segnale di minaccia per PrintNightmare. Vedere l’appendice per un collegamento a “Avviso di epidemia Fortinet: Microsoft PrintNightmare” e “#PrintNightmare Zero Day Code Execution Vulnerability”. Qual è lo stato della copertura?FortiGuard Labs ha una copertura IPS in atto per la vulnerabilità “PrintNightmare” (CVE- 2021-34527). Prima dell’implementazione, le organizzazioni devono esaminare i criteri di configurazione per la protezione dagli scenari di “apertura non riuscita” e di nuova registrazione. Implementare funzionalità di timeout e blocco in risposta a ripetuti tentativi di accesso non riusciti. Assicurarsi che gli account inattivi siano disabilitati in modo uniforme in Active Directory, MFA sistemi ecc. Aggiorna il software, inclusi i sistemi operativi, le applicazioni e il firmware sulle risorse della rete IT in modo tempestivo. Dai la priorità all’applicazione di patch alle vulnerabilità note sfruttate, in particolare alle vulnerabilità critiche ed elevate che consentono l’esecuzione di codice in modalità remota o la negazione del servizio su apparecchiature con connessione a Internet.Richiedi a tutti gli account con password di accesso (ad es. account di servizio, account amministratore e account amministratore di dominio) di avere password complesse e univoche. Le password non devono essere riutilizzate su più account o archiviate nel sistema a cui un avversario potrebbe avere accesso. Monitorare continuamente i registri di rete per attività sospette e tentativi di accesso non autorizzati o insoliti. Implementare criteri di avviso di sicurezza per tutte le modifiche agli account/gruppi abilitati alla sicurezza e avviso su eventi di creazione di processi sospetti (ntdsutil, rar, regedit, ecc.).