FBI公布俄罗斯黑客开采PrintNightmare漏洞并绕过MFA的手法

美国联邦调查局(FBI)及美国网络安全暨基础架构管理局(CISA)本周联袂警告,由俄罗斯政府支持的黑客集团借由绕过多因素认证(MFA)及开采微软于去年7月修补的PrintNightmare(CVE-2021-34527)漏洞,成功入侵了一家非政府组织(NGO),因而公布了该黑客集团所使用的技巧、程序与入侵指标,并提供预防建议。

微软是在去年7月修补PrintNightmare漏洞,但FBI在5月就发现了俄罗斯黑客集团的攻击行动。

FBI与CISA的分析显示,黑客先暴力破解该NGO的某个账号,虽然该受害账号已因长期未活动而被Cisco Duo除名,却未被Active Directory关闭,由于Duo的默认配置允许休眠账号重新注册一个新设备,让黑客得以注册一个新设备至该账号,完成身份认证要求,并获得对受害者网络的访问权限。

之后黑客即开采PrintNightmare漏洞,展开权限扩张并取得管理权限,也变更了域名控制器文件,将Duo多因素认证(MFA)调用引跳转至本地端主机,而非Duo服务器,使得MFA服务无法验证相关的登录。

在成功关闭MFA之后,黑客即可登录受害者的虚拟私有网络,通过RDP连接至Windows的域名控制器,执行命令以获取其它域名账户的凭证,再重复上述的攻击行动,利用多个已绕过MFA的账号于受害组织中横向移动,包括访问其云计算存储、电子邮件账号及所需的内容。

CISA与FBI除了公布该攻击的入侵指标之外,也建议各大组织应该要毫无例外地针对所有用户执行MFA;限制重复的失败登录尝试;确保MFA与Active Directory统一禁用非活动账号;即时更新所有软件;要求所有账号都采用强大密码;持续监控网络上的可疑行为与登录;针对安全账号与群组的所有变更实施安全警报政策,另也鼓励组织采用更严格的最佳安全做法。