ロシアの国家支援を受けた脅威アクターは、昨年、多要素認証 (MFA) のデフォルト設定を利用し、Windows 印刷スプーラーの PrintNightmare 脆弱性を悪用して、非政府組織 (NGO) に侵入しました。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とFBIは3月15日に共同警告を発し、国家の支援を受けた犯罪者がMFAのデフォルト設定や欠陥を利用してネットワークにアクセスする可能性があると組織に警告した。
このケースでは、名前が明かされていないサイバー犯罪集団が誤って設定されたアカウントを悪用し、NGO でデフォルトの MFA プロトコルを設定しました。
攻撃者はMFA用の新しいデバイスを登録し、NGOのネットワークにアクセスし、PrintNightmareの脆弱性(CVE-2021-34527として追跡)を悪用して悪意のあるコードを実行し、システム権限を取得して電子メールアカウントにアクセスし、組織のクラウド環境に横移動して文書を盗むことを可能にした。
攻撃は2021年5月に開始された。CISAとFBIは、攻撃がどのくらい続いたかや、標的となったNGOの身元を明らかにしていない。
「CISAは多要素認証を強く支持しています」と、CISAディレクターのジェン・イースターリー氏は述べています。「多要素認証は、個人や組織が悪意のあるサイバー活動のリスクを軽減するために講じることができる最も効果的な対策の一つです。この勧告は、組織が多要素認証を適切に設定し、その効果を最大化することが不可欠であることを示しています。」
サイバーセキュリティ企業ベクトラのSaaS態勢担当副社長アーロン・ターナー氏は、The Registerへの電子メールで、2020年以降、ロシアは「MFAが適切に実装されていない場合や、攻撃者がクラウドIDサプライチェーンの重要な部分を侵害できるような方法で運用されている場合に、MFAを回避するための大きな能力を開発していることを示した」と語った。
同氏はさらに、「この最新の勧告は、MFA を「チェックボックス」コンプライアンス ソリューションとして実装した組織が、大規模な MFA 脆弱性の悪用を目撃していることを示しています」と付け加えた。
サイバーセキュリティ企業バルカン・サイバーのシニアテクニカルエンジニア、マイク・パーキン氏によると、このNGOへの攻撃は、ユーザーアカウントの衛生管理がなぜ重要で、セキュリティパッチをできるだけ早く適用する必要があるのかを示しているという。
「ロシア政府が支援するアクターによる今回の侵入は、本来完全に無効化されるべき脆弱なアカウントと、標的環境に存在する悪用可能な脆弱性の両方を悪用していました」とパーキン氏はThe Registerへのメールで述べた。「[PrintNightmare]のパッチは最初の攻撃後にのみ利用可能でしたが、アカウントの適切な管理が行われていれば、攻撃者が被害者への攻撃を実行するために利用した最初のアクセスは阻止できたはずです。」
- PrintNightmare: Windows 2000以前のレガシーグループからユーザーをキックすると、ドメインコントローラーの悪用を阻止できる可能性がある
- 漏洩した印刷スプーラーの脆弱性により、Windows ユーザーはドメイン コントローラー上でシステムとしてコードをリモート実行できる
- IBMのメール問題で販売取引が複雑化、業界が公表しているよりも深刻 - 情報筋
- マイクロソフトのペイント3Dを使わないもう一つの理由を発見した - 研究者
PrintNightmare は、Microsoft の Windows 印刷スプーラー サービスにおけるリモート コード実行の脆弱性で、昨年の夏に発見され、エンタープライズ ソフトウェアおよびクラウドの大手企業に印刷関連のセキュリティ問題をいくつか引き起こしました。
マイクロソフトは脆弱性の発見後すぐにパッチをリリースした。
CISAとFBIによる今回の警告は、ロシアと隣国ウクライナへの侵攻に関連したサイバー攻撃への懸念が高まる中で発せられた。ウクライナは継続的にサイバー攻撃を受けており、東欧諸国以外の企業にも被害が及んでいる。
米政府機関によると、このNGOへの攻撃では、犯人はブルートフォースパスワード推測攻撃を使用し、単純で予測可能なパスワードを使って同組織のDuo MFAアカウントにアクセスしたという。
警告によると、「被害者のアカウントは長期間使用されていなかったため Duo から登録解除されていたが、Active Directory では無効化されていなかった」という。
「Duo のデフォルト構成設定では、休止状態のアカウントに新しいデバイスを再登録できるため、攻撃者はこのアカウントに新しいデバイスを登録し、認証要件を完了して、被害者のネットワークへのアクセスを取得することができました。」
脅威アクターはこれを利用し、PrintNightmareの脆弱性を悪用して管理者権限を取得し、ドメインコントローラを改変してDuo MFAがMFAログインを検証するためにサーバーに接続できないようにしました。攻撃者は被害者の仮想プライベートネットワーク(VPN)を非管理者ユーザーとして認証し、Windowsドメインコントローラにリモートデスクトッププロトコル(RDP)接続を行いました。そして、他のドメインアカウントの認証情報を取得しました。
サイバーセキュリティベンダーViakooのCEO、バド・ブルームヘッド氏は、組織は今後この種の攻撃ベクトルがさらに増えることを覚悟すべきだと述べた。プリンターやその他のIoTデバイスへのパッチ適用は最優先事項だ。
「多要素認証(MFA)をサポートするデバイスでMFAが適切に設定されているにもかかわらず、SIMスワップによって悪用されるケースが増えています」とブルームヘッド氏はThe Registerへのメールで述べた。「多くのIoTデバイスは多要素認証に対応していないため、組織はIoTデバイス全体に企業のパスワードポリシーを適用するための戦略を策定することが極めて重要です。これには、定期的なパスワードローテーション、複雑なパスワードの使用、IoTデバイスを使用するアプリケーションとのパスワードの連携などが含まれます。」
「今回のような攻撃を防ぐには、業界のベストプラクティスが大いに役立ちます」と、Vulcan Cyberのパーキン氏は述べた。「デフォルト設定を安全な設定に更新する必要があります。システムは、オープンではなくフェイルクローズに設定する必要があります。使用されていないアカウントは無効化する必要があります。デフォルトアカウントを引き続き使用する必要がある場合は、パスワードをデフォルトのものから安全なものに変更する必要があります。パッチは可能な限り速やかに適用する必要があります。アクセスは必要最小限のレベルに制限する必要があります。」
プリントナイトメアは続く:マイクロソフトはWindowsの全バージョンに脆弱なコードが存在することを確認した
続きを読む
SaaSセキュリティベンダーDoControlの製品ディレクター、コーリー・オコナー氏は、アクセス制御もあらゆる緩和戦略の重要な要素であると付け加えた。機密データを含むビジネスクリティカルなアプリケーションにきめ細かなアクセス制御を適用することで、データの盗難防止に大きく貢献するだろう。
「MFAが侵害された場合でも、最小権限ポリシーの適用によって機密データへのアクセスを最小限に抑えるという命綱が残っています」とオコナー氏はThe Registerへのメールで述べた。「ファイルが未知のIPアドレスやその他の高リスクなパラメータによってアクセスされている場合、潜在的に悪意のある、あるいは高リスクなアクティビティを検出できます。」®
