CISA/FBI 警告:MFA プロトコルと PrintNightmare を悪用するロシアからの攻撃

US Warns About Russian Attacks Exploiting MFA Protocols, PrintNightmare Flaw

2022/03/16 SecurityWeek — 3月2日に、米国 Cybersecurity and Infrastructure Security Agency (CISA) と FBI は、ロシアの国家に支援された脅威アクターが、デフォルトの多要素認証 (MFA) プロトコルと、PrintNightmare と呼ばれる Windows の脆弱性を悪用して、ネットワークやシステムに不正にアクセスしていると、各組織に警告を発した。この正体不明の脅威グループは、早ければ 2021年5月に NGO を標的とし、デフォルトの MFA プロトコル上に構成された、誤った設定のアカウントを悪用し、被害者のネットワークにアクセスしたとのことだ。

その後、攻撃者たちは 脆弱性 PrintNightmare CVE-2021-34527 を悪用し、昇格した権限で任意のコードを実行したとのことだ。この脆弱性は、さまざまな脅威者により悪用されており、2021年夏に Microsoft がパッチをリリースする前に、最初の攻撃が始まっていたとされる。この攻撃のニュースが流れた直後に、CISA は全ての連邦政府機関に対して、この欠陥に直ちに対処するよう指示した。

CISA と FBI による最新の勧告に記載された攻撃においては、侵害したシステム上にすでに存在していた正規の Windows ユーティリティを、脅威アクターたちは主として悪用していた。彼らの目的は、クラウド・ストレージや電子メール・アカウントから、文書を窃取することであったようだ。

今回の勧告によると、脅威アクターたちは、ブルートフォース攻撃により取得した認証情報を使用して、被害者の組織に最初にアクセスしたとのことだ。

被害者のアカウントは、長期間にわたって使用されなかったことで、Duo から登録解除されていたが、Active Directory では無効化されていなかった。Duo のデフォルト・コンフィグレーションでは、休止状態のアカウントに対して新しいデバイスを再登録することが可能である。したがって、このようなアカウントに対して、脅威アクターは新しいデバイスを登録し、認証要件を満たし、被害者ネットワークへのアクセスを取得できていた。

この侵害されたアカウントを使用して、ロシアの国家支援アクターは、管理者権限を取得するために、脆弱性 PrintNightmare CVE-2021-34527 を悪用して、権限昇格を達成していた。また、この脅威アクターは、ドメイン・コントローラー・ファイルである
c:\windows\system32\drivers\etc\hosts を変更し、Duo MFA コールを Duo サーバーではなく localhost にリダイレクトした。

この変更により、MFA サービスはサーバーとの連携が不能となり、MFA ログインを検証できなくなった。つまり、Duo for Windows のデフォルト・ポリシーが、MFA サーバーに到達できない場合に Fail Open するため、アクティブなドメイン・アカウントの MFA を効果的に無効にできた。

注:Fail Open は、どのような MFA 実装でも起こりうることであり、Duo に限ったことではない。

MFA を効果的に無効にした後に、この脅威アクターは、非管理者ユーザーとして被害者の VPN で認証し、Windows ドメイン・コントローラへの RDP 接続を成功させた。この脅威アクターは、コマンドを実行して追加のドメイン・アカウントの認証情報を窃取し、前述の方法で MFA の設定ファイルを変更し、新たに侵害したアカウントの MFA をバイパスした。

CISA と FBI は、共同アドバイザリーを発表し、この侵害関する指標 Indicators of Compromise (IoC) を共有し、MFA 設定を狙った侵入を防止するための推奨事項を提供した。CISA をはじめとする米国政府機関は、サイバー空間におけるロシアの脅威をめぐり、今年に入ってから複数の勧告や警告を発表している。

MFA を採用しても、シッカリと管理しなければ、このようなインシデントが発生するという話ですね。これまでに、MFA が適切に機能しなかった例としては、2022年1月18日の「Box の SMS-based 多要素認証がバイパスされる:研究者たちが指摘する欠陥とは?」があります。また、2月3日には「多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗」という記事もありました。よろしければ、MFA で検索や、PrintNightmare で検索を、ご利用ください。

%d bloggers like this: