Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Biro Investigasi Federal (FBI) telah merilis peringatan bersama bahwa aktor ancaman yang didukung Rusia meretas jaringan entitas non-pemerintah yang tidak disebutkan namanya dengan mengeksploitasi kombinasi kelemahan.
“Pada awal Mei 2021, aktor siber yang disponsori negara Rusia memanfaatkan akun yang salah konfigurasi yang disetel ke protokol default [otentikasi multi-faktor] di organisasi non-pemerintah (LSM), memungkinkan mereka mendaftarkan perangkat baru untuk MFA dan mengakses jaringan korban," kata agensi .
"Para aktor kemudian mengeksploitasi kerentanan Windows Print Spooler yang kritis, 'PrintNightmare' ( CVE-2021-34527 ) untuk menjalankan kode arbitrer dengan hak istimewa sistem."
Serangan itu dilakukan dengan mendapatkan akses awal ke organisasi korban melalui kredensial yang disusupi – diperoleh melalui serangan tebak kata sandi secara paksa – dan mendaftarkan perangkat baru di Duo MFA organisasi tersebut .
Perlu juga dicatat bahwa akun yang dilanggar tidak didaftarkan dari Duo karena lama tidak aktif, tetapi belum dinonaktifkan di Direktori Aktif LSM, sehingga memungkinkan penyerang untuk meningkatkan hak istimewa mereka menggunakan cacat PrintNightmare dan menonaktifkan layanan MFA sama sekali.
"Karena pengaturan konfigurasi default Duo memungkinkan pendaftaran ulang perangkat baru untuk akun yang tidak aktif, para aktor dapat mendaftarkan perangkat baru untuk akun ini, menyelesaikan persyaratan otentikasi, dan mendapatkan akses ke jaringan korban," jelas agensi.
Menonaktifkan MFA, pada gilirannya, memungkinkan aktor yang disponsori negara untuk mengautentikasi ke jaringan pribadi virtual (VPN) LSM sebagai pengguna non-administrator, terhubung ke pengontrol domain Windows melalui Remote Desktop Protocol (RDP), dan mendapatkan kredensial untuk akun domain lain .
Pada tahap akhir serangan, akun yang baru disusupi kemudian digunakan untuk bergerak secara lateral melintasi jaringan untuk menyedot data dari penyimpanan cloud dan akun email organisasi.
Untuk mengurangi serangan tersebut, baik CISA dan FBI merekomendasikan organisasi untuk menegakkan dan meninjau kebijakan konfigurasi otentikasi multi-faktor, menonaktifkan akun tidak aktif di Active Directory, dan memprioritaskan patch untuk kelemahan yang diketahui dieksploitasi .
source: thehackernews
Posting Komentar