El FBI advierte sobre la falla MFA utilizada por los piratas informáticos estatales para el movimiento lateral

El FBI dice que los piratas informáticos respaldados por el estado ruso obtuvieron acceso a la nube de una organización no gubernamental (ONG) después de inscribir su propio dispositivo en Duo MFA de la organización luego de la explotación de protocolos de autenticación multifactor (MFA) predeterminados mal configurados.

Para violar la red, usaron credenciales comprometidas en un ataque de adivinación de contraseñas de fuerza bruta para acceder a una cuenta no inscrita e inactiva, aún no desactivada en el Directorio Activo de la organización.

“Como los ajustes de configuración predeterminados de Duo permiten la reinscripción de un nuevo dispositivo para cuentas inactivas, los actores pudieron inscribir un nuevo dispositivo para esta cuenta, completar los requisitos de autenticación y obtener acceso a la red de la víctima”, dijeron las agencias federales. explicado.

“Se canceló la inscripción de la cuenta de la víctima en Duo debido a un largo período de inactividad, pero no se deshabilitó en Active Directory”.

El siguiente paso fue deshabilitar el servicio MFA redirigiendo todas las llamadas Duo MFA a localhost en lugar del servidor Duo después de modificar un archivo de controlador de dominio.

Esto les permitió autenticarse en la red privada virtual (VPN) de la ONG como usuarios no administradores, conectarse a los controladores de dominio de Windows a través del Protocolo de escritorio remoto (RDP) y obtener credenciales para otras cuentas de dominio.

Con la ayuda de estas cuentas comprometidas y sin la aplicación de MFA, los actores de amenazas respaldados por Rusia podrían moverse lateralmente y obtener acceso al almacenamiento en la nube y cuentas de correo electrónico y filtrar datos.

El FBI y CISA instaron hoy a todas las organizaciones en un aviso conjunto de seguridad cibernética a aplicar las siguientes medidas de mitigación:

  • Aplique MFA y revise las políticas de configuración para protegerse contra escenarios de “apertura fallida” y reinscripción.
  • Asegúrese de que las cuentas inactivas estén deshabilitadas de manera uniforme en los sistemas Active Directory y MFA.
  • Parchear todos los sistemas. Priorizar la aplicación de parches para vulnerabilidades explotadas conocidas.

“Cada organización debe hacer cumplir MFA para todos los empleados y clientes, y cada usuario debe registrarse para MFA cuando esté disponible”, agregó CISA.

“Las organizaciones que implementan MFA deben revisar las configuraciones predeterminadas y modificarlas según sea necesario, para reducir la probabilidad de que un adversario sofisticado pueda eludir este control”.

Las dos agencias federales compartieron información adicional sobre tácticas, técnicas y procedimientos (TTP), indicadores de compromiso (IOC) y recomendaciones para protegerse contra esta actividad maliciosa en el aviso conjunto.

Los avisos conjuntos anteriores también advirtieron sobre los piratas informáticos del estado ruso que apuntan y comprometen a los contratistas de defensa de los EE. UU. que apoyan al Ejército de los EE. UU., la Fuerza Aérea de los EE. UU., la Marina de los EE. UU., la Fuerza Espacial de los EE. UU. y los programas de inteligencia y DoD.

Los grupos de piratería rusos, incluidos APT29, APT28 y Sandworm Team, también se han dirigido a organizaciones de sectores de infraestructura crítica de EE. UU.

En julio de 2021, el gobierno de los EE. UU. también anunció una recompensa de hasta $10 millones por información sobre actividades maliciosas coordinadas por piratas informáticos estatales que apuntan a redes de infraestructura crítica.

Add Comment