美國聯邦調查局(FBI)及美國網路安全暨基礎架構管理署(CISA)本周連袂警告,由俄羅斯政府支持的駭客集團藉由繞過多因素認證(MFA)及開採微軟於去年7月修補的PrintNightmare(CVE-2021-34527)漏洞,成功入侵了一家非政府組織(NGO),因而公布了該駭客集團所使用的技巧、程序與入侵指標,並提供預防建議。

微軟是在去年7月修補PrintNightmare漏洞,但FBI在5月就發現了俄羅斯駭客集團的攻擊行動。

FBI與CISA的分析顯示,駭客先暴力破解該NGO的某個帳號,雖然此一受害帳號已因長期未活動而被Cisco Duo除名,卻未被Active Directory關閉,由於Duo的預設配置允許休眠帳號重新註冊一個新裝置,讓駭客得以註冊一個新裝置至該帳號,完成身分認證要求,並獲得對受害者網路的存取權限。

繼之駭客即開採PrintNightmare漏洞,展開權限擴張並取得管理權限,也變更了網域控制器檔案,將Duo多因素認證(MFA)呼叫引導至本地端主機,而非Duo伺服器,使得MFA服務無法驗證相關的登入。

在成功關閉MFA之後,駭客即可登入受害者的虛擬私有網路,透過RDP連結至Windows的網域控制器,執行命令以獲取其它網域帳戶的憑證,再重複上述的攻擊行動,利用多個已繞過MFA的帳號於受害組織中橫向移動,包括存取其雲端儲存、電子郵件帳號及所需的內容。

CISA與FBI除了公布此一攻擊的入侵指標之外,也建議各大組織應該要毫無例外地針對所有使用者執行MFA;限制重複的失敗登入嘗試;確保MFA與Active Directory統一禁用非活動帳號;即時更新所有軟體;要求所有帳號都採用強大密碼;持續監控網路上的可疑行為與登入;針對安全帳號與群組的所有變更實施安全警報政策,另也鼓勵組織採用更嚴格的最佳安全作法。

熱門新聞

Advertisement