近日，美國(guó)聯(lián)邦調(diào)查局(FBI)表示，俄羅斯政府支持的黑客組織正積極利用錯(cuò)誤配置的默認(rèn)多因素認(rèn)證(MFA)協(xié)議，將自己的設(shè)備注冊(cè)到機(jī)構(gòu)組織的Duo MFA后，從而進(jìn)入一些非政府組織的云端。

為了攻破網(wǎng)絡(luò)，他們會(huì)以一個(gè)未注冊(cè)且未激活的賬號(hào)暴力破解密碼攻擊中泄露的證書。通常，他們使用的賬戶是機(jī)構(gòu)組織的活動(dòng)目錄中尚未禁用的。

“由于Duo的默認(rèn)配置允許休眠賬戶重新注冊(cè)新設(shè)備，所以攻擊者能夠?yàn)橘~戶注冊(cè)新設(shè)備，完成認(rèn)證要求，并獲得訪問受害者網(wǎng)絡(luò)的權(quán)限”， 聯(lián)邦機(jī)構(gòu)解釋道，“由于長(zhǎng)期不活動(dòng)，受害者帳戶已從Duo注銷，但在活動(dòng)目錄中未被禁用。”

攻擊的下一步是在修改域控制器文件后，通過將所有Duo MFA接入重定向到本地主機(jī)而不是Duo服務(wù)器來禁用MFA服務(wù)。這就使得他們能夠以非管理員用戶身份驗(yàn)證到非政府組織的虛擬專用網(wǎng)絡(luò)(VPN)，通過遠(yuǎn)程桌面協(xié)議(RDP)連接到Windows域控制器，并獲得其他域帳戶的憑證。

在這些被盜賬戶的幫助下，攻擊者們能夠在沒有MFA執(zhí)行的情況下橫向移動(dòng)，訪問云存儲(chǔ)和電子郵件賬戶，并竊取數(shù)據(jù)。

對(duì)此，F(xiàn)BI和CISA今天在一份聯(lián)合網(wǎng)絡(luò)安全咨詢中給組織機(jī)構(gòu)提供了以下緩解措施:

• 執(zhí)行MFA并檢查配置策略，以防止“失敗打開”和重新注冊(cè)場(chǎng)景。
• 確?？鏏ctive Directory和MFA系統(tǒng)統(tǒng)一禁用不活躍帳戶。
• 給所有系統(tǒng)打補(bǔ)丁，優(yōu)先為已知被利用的漏洞打補(bǔ)丁。

另外，F(xiàn)BI和CISA在聯(lián)合報(bào)告中也分享了關(guān)于戰(zhàn)術(shù)、技術(shù)和程序(TTPs)、妥協(xié)指標(biāo)(ioc)和防止這種惡意活動(dòng)的額外建議信息。

其實(shí)，此前就有聯(lián)合報(bào)告向美國(guó)政府發(fā)出警告，稱俄羅斯國(guó)家黑客在近期會(huì)攻擊支持陸軍、空軍、海軍、太空部隊(duì)、國(guó)防部和情報(bào)項(xiàng)目的美國(guó)國(guó)防承包商。包括APT29、APT28和沙蟲團(tuán)隊(duì)(Sandworm Team)在內(nèi)的俄羅斯黑客組織一直對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施部門的組織虎視眈眈。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement/