FBI警告民族国家黑客正在利用MFA漏洞进行横向移动在将自己的设备注册到该组织的DuoMFA后,它可以进入一些非政府组织的云端。为了闯入网络,他们使用未注册且不活动的帐户来暴力破解在密码攻击中泄露的凭据。通常,他们使用尚未在组织的ActiveDirectory中禁用的帐户。“由于Duo的默认配置允许休眠帐户重新注册新设备,因此攻击者能够为该帐户注册新设备,完成身份验证要求,并获得对受害者网络的访问权限,”联邦机构解释说。“由于长时间不活动,受害者或帐户已从Duo注销,但未在ActiveDirectory中禁用。”攻击的下一步是通过在修改域控制器文件后将所有DuoMFA访问重定向到本地主机而不是Duo服务器来禁用MFA服务。这使他们能够以非管理员用户的身份向NGO的虚拟专用网络(VPN)进行身份验证,通过远程桌面协议(RDP)连接到Windows域控制器,并获取其他域帐户的凭据。借助这些被入侵的帐户,攻击者能够在没有MFA强制执行的情况下横向移动,访问云存储和电子邮件帐户,并窃取数据。作为回应,FBI和CISA今天在联合网络安全咨询中为组织提供了以下缓解措施:执行MFA并检查配置策略以防止“失败打开”和重新注册场景。确保跨ActiveDirectory和MFA系统统一禁用非活动帐户。为所有系统打补丁,优先为已知漏洞打补丁。此外,FBI和CISA在联合报告中分享了有关战术、技术和程序(TTP)、妥协指标(IoC)的更多信息,以及防止此类恶意活动的其他建议。事实上,一份联合报告此前曾警告美国政府,俄罗斯国家黑客将在不久的将来攻击支持陆军、空军、海军、太空部队、国防部和情报项目的美国国防承包商。包括APT29、APT28和SandwormTeam在内的俄罗斯黑客组织一直以美国关键基础设施领域的组织为目标。参考来源:https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement/
