Wireless

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

FBI avisa que hackers obtêm acesso à rede explorando a vulnerabilidade MFA e “PrintNightmare”

 

A CSA e o FBI conduziram de forma colaborativa vários tipos de análise sobre atividades de hackers. Houve especulações sobre atores de ameaças patrocinados pelo Estado russo e seus alvos sobre a Ucrânia e outras partes do mundo.

Recentemente, eles exploraram uma ONG que estava usando o Duo MFA da Cisco, que permitia o acesso a contas de e-mail e nuvem para roubar documentos.

O FBI também listou as etapas para mitigar, técnicas, táticas e procedimentos, indicadores de comprometimento que podem ser usados ​​para proteger contra hackers patrocinados pelo Estado russo.

Como eles exploraram isso?

No início de maio de 2021, o FBI observou que os hackers patrocinados pelo Estado russo tinham como alvo uma ONG e exploraram uma falha nesse sistema relacionada ao MFA e para se mover dentro da rede.

Os hackers inicialmente obtiveram acesso à rede por meio de credenciais comprometidas. Mais tarde, eles se inscreveram em um novo dispositivo para a conta comprometida. Os hackers estavam usando técnicas de força bruta para extrair credenciais de uma conta. Contas com senhas muito simples e previsíveis foram comprometidas. 

Devido à longa inatividade na conta comprometida, a MFA está desabilitada e, principalmente, as contas não foram removidas do diretório ativo. Os hackers aproveitaram essas contas e as assumiram. 

Para escalonamento de privilégios, eles usaram uma vulnerabilidade conhecida chamada “PrintNightmare” e obtiveram acesso ao sistema.

Após aumentar os privilégios, eles conseguiram alterar o arquivo C:\windows\system32\drivers\etc\hosts para modificar o MFA. Eles redirecionaram o arquivo dos hosts e alteraram o IP do Duo Server para localhost .

Isso impediu a validação de dispositivos associados às contas. Outra coisa interessante é que o Duo tem um valor padrão como “Fail Open”. Isso desativou a autenticação MFA para o dispositivo durante a conexão com a VPN. 

Assim que obtiveram acesso à Rede Privada Virtual, eles usaram o Protocolo de Área de Trabalho Remota para se conectar ao Controlador de Domínio do Windows. Eles usaram essas contas para se mover lateralmente pela organização. 

Indicadores de Compromisso

Os processos a seguir podem indicar que os sistemas podem estar comprometidos.

  • ping[.]exe
  • regedit [.] exe
  • rar [.] exe
  • ntdsutil [.] exe

As modificações do arquivo de hosts incluem 

127.0.0.1 api-<editado>.duosecurity [.] com 

Foram identificados os seguintes endereços IP usados ​​pelos agentes de ameaças.

  • 45.32.137[.]94
  • 191.96.121[.]162
  • 173.239.198[.]46
  • 157.230.81[.]39 

Mitigações

O FBI publicou as etapas completas para mitigar e verificar se há contas comprometidas. Alguns deles são 

  • Habilitando a MFA para todos os usuários o mais rápido possível
  • Configurar novas políticas para "falha aberta"
  • Certifique-se de remover todas as contas presumivelmente desativadas.
  • Atualize todo o software e patches
  • Monitorar para log suspeito 
  • Não permitir que os funcionários usem as mesmas credenciais de login em muitas contas.


Nenhum comentário :