El FBI advierte de un fallo en la AMF utilizado por ciberdelincuentes estatales rusos

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El FBI afirmó que piratas informáticos rusos, respaldados por el Estado, obtuvieron acceso a la nube de una organización no gubernamental (ONG) después de inscribir su propio dispositivo en Duo MFA de la organización tras la explotación de protocolos de autenticación multifactorial (MFA) mal configurados por defecto.

Para entrar en la red, utilizaron credenciales comprometidas en un ataque de fuerza bruta de adivinación de contraseñas para acceder a una cuenta no inscrita e inactiva, aún no desactivada en el Directorio Activo de la organización.

El siguiente paso fue desactivar el servicio MFA redirigiendo todas las llamadas de Duo MFA a localhost en lugar de al servidor de Duo tras modificar un archivo del controlador de dominio.

Esto les permitió autenticarse en la red privada virtual (VPN) de la ONG como usuarios no administradores, conectarse a los controladores de dominio de Windows a través del Protocolo de Escritorio Remoto (RDP) y obtener credenciales para otras cuentas de dominio.

Con la ayuda de estas cuentas comprometidas y sin la aplicación de la MFA, los actores de la amenaza respaldados por Rusia podían moverse lateralmente y obtener acceso a las cuentas de almacenamiento en la nube y de correo electrónico y exfiltrar datos.

El FBI y CISA han instado a todas las organizaciones en un aviso de ciberseguridad conjunto a aplicar las siguientes medidas de mitigación

-Aplicar la MFA y revisar las políticas de configuración para protegerse contra los escenarios de “fail open” y reinscripción.
-Asegurarse de que las cuentas inactivas se desactivan de manera uniforme en el Directorio Activo y en los sistemas MFA.
-Parchear todos los sistemas. Dar prioridad a la aplicación de parches para las vulnerabilidades conocidas.

Las dos agencias federales compartieron información adicional sobre las tácticas, técnicas y procedimientos (TTPs), indicadores de compromiso (IOCs) y recomendaciones para protegerse contra esta actividad maliciosa en el aviso conjunto.

En anteriores avisos conjuntos también se advertía de que los piratas informáticos estatales rusos atacaban y ponían en peligro a los contratistas de defensa estadounidenses que apoyan al Ejército de Tierra, la Fuerza Aérea, la Armada y la Fuerza Espacial de Estados Unidos, así como a los programas del Departamento de Defensa y de Inteligencia.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *