Fbi, Cisa Et Hackers Russes

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont publié un avertissement conjoint indiquant que des acteurs de la menace soutenus par la Russie ont piraté le réseau d’une entité non gouvernementale anonyme en exploitant une combinaison de failles.

« Dès mai 2021, des cyber-acteurs parrainés par l’État russe ont profité d’un compte mal configuré défini par défaut [multi-factor authentication] protocoles d’une organisation non gouvernementale (ONG), leur permettant d’inscrire un nouvel appareil pour l’AMF et d’accéder au réseau de la victime », les agences mentionné.

Sauvegardes Github Automatiques

« Les acteurs ont ensuite exploité une vulnérabilité critique du spouleur d’impression Windows, ‘PrintNightmare’ (CVE-2021-34527) pour exécuter du code arbitraire avec des privilèges système. »

L’attaque a été lancée en obtenant un accès initial à l’organisation victime via des informations d’identification compromises – obtenues au moyen d’une attaque de devinette de mot de passe par force brute – et en inscrivant un nouvel appareil dans l’organisation. Duo MFA.

Il convient également de noter que le compte piraté a été désinscrit de Duo en raison d’une longue période d’inactivité, mais n’avait pas encore été désactivé dans l’Active Directory de l’ONG, permettant ainsi aux attaquants d’élever leurs privilèges en utilisant la faille PrintNightmare et de désactiver le service MFA. tout à fait.

Publicité

« Comme les paramètres de configuration par défaut de Duo permettent la réinscription d’un nouvel appareil pour les comptes inactifs, les acteurs ont pu inscrire un nouvel appareil pour ce compte, remplir les conditions d’authentification et obtenir l’accès au réseau victime », ont expliqué les agences. .

Empêcher Les Violations De Données

La désactivation de MFA, à son tour, a permis aux acteurs parrainés par l’État de s’authentifier auprès du réseau privé virtuel (VPN) de l’ONG en tant qu’utilisateurs non administrateurs, de se connecter aux contrôleurs de domaine Windows via le protocole de bureau à distance (RDP) et d’obtenir des informations d’identification pour d’autres comptes de domaine. .

Au stade final de l’attaque, les comptes nouvellement compromis ont ensuite été utilisés pour se déplacer latéralement sur le réseau afin de siphonner les données du stockage en nuage et des comptes de messagerie de l’organisation.

Pour atténuer ces attaques, la CISA et le FBI recommandent aux organisations d’appliquer et de revoir les politiques de configuration de l’authentification multifacteur, de désactiver les comptes inactifs dans Active Directory et de donner la priorité aux correctifs pour failles exploitées connues.


Rate this post
Publicité
Article précédentLes opérateurs de téléphonie mobile ukrainiens travaillent ensemble pour maintenir les smartphones en ligne
Article suivant• Graphique : Le métaverse est un jeu pour les jeunes
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici