ロシア政府の支援を受けたハッカーが、多要素認証(MFA)を迂回(うかい)した上で、「Windows 10」に潜むプリンタースプーラーの脆弱性を悪用するという巧妙な手法を用い、ネットワークや、価値の高いドメインアカウントを侵害している。目的は、被害者のクラウドや電子メールにアクセスすることだ。
米連邦捜査局(FBI)と米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間3月15日、ロシア政府の支援を受けたハッカーグループの活動に関する警告を発出した。こうした活動は、ロシアによるウクライナへの軍事侵攻に関連するサイバー活動について、一連の警告が発出される前から行われている。
ハッカーは少なくとも2021年5月に、非政府機関(NGO)のネットワークを侵害する目的で、MFAソリューションに関わるデフォルト設定の問題と、Windows 10の「PrintNightmare」脆弱性(CVE-2021-34481)を組み合わせていた。
Microsoftは、Windows 10が抱えていたこの特権昇格の問題に対するパッチを2021年8月に公開している。攻撃者はいったんネットワーク内に侵入した場合、この問題を悪用してWindows 10マシンで新たなアカウントを作成できるようになる。
このNGOの事例では、強度の弱いパスワードが使用されていたため、攻撃者はパスワード推測攻撃で初期アクセスの認証情報を取得したようだ。さらに攻撃者は、Cisco Systems傘下のDuo Securityのデフォルト設定で休眠中のアカウントに対して新規デバイスを登録できる点を利用していた。
CISAの警告には、「ロシア政府の支援を受けたサイバー犯罪者は、不正取得した認証情報と、標的とする組織が利用しているDuo MFAの新規デバイス登録機能を悪用して、この組織に対する初期アクセスを獲得した。サイバー犯罪者は総当たりのパスワード類推攻撃で認証情報を取得しており、簡単で予測可能なパスワードを用いているアカウントにアクセスすることができた」と書かれている。
攻撃者はアカウントへの侵入に成功した後、特権昇格の脆弱性PrintNightmareを悪用し、より高いレベルの管理者権限を獲得した上で、MFAを「実質的に」無効化する変更を実施した。
CISAは、「この変更によって、MFAサービスはMFAによるログインを認証するためのサーバーに接続できなくなった。そして、Windows版DuoのデフォルトポリシーではMFAサーバーに到達不能である場合、『フェールオープン』するようになっているため、アクティブドメインアカウントに対するMFAが実質的に無効化された」と説明している。
さらに、この「フェールオープン」の問題はDuoの製品に限った話ではないとCISAは指摘した。
その後、攻撃者らはより価値の高いアカウントに対してこの操作を繰り返した。彼らはMFAを無効にした後、非管理者ユーザーとして標的組織のVPNに認証し、Windowsのドメインコントローラーに対するRDP接続を確立した。さらに攻撃者は、他のドメインアカウントの認証情報を窃取し、MFAの設定ファイルを変更することで、新たに取得したアカウントのMFAを迂回できるようにした。
「これらの侵害されたアカウントをMFAを適用せず利用し、ロシア国家の支援を受けたサイバーアクターは、被害者のクラウドストレージと電子メールアカウントへとラテラルに動き、望ましいコンテンツにアクセスすることができた」とCISAは説明した。
CISAはMFAの実装や、それ以外に関する複数の緩和策を概説している。MFA関連の回避策には以下が挙げられている。
- すべてのユーザーにMFAを適用する。組織は導入に先立って、「フェールオープン」や再登録のシナリオから保護する上で、設定ポリシーをレビューしておく必要がある。
- ログイン試行の失敗が繰り返される場合に対応するタイムアウトやロックアウトの機能を導入する。
- 非アクティブなアカウントを「Active Directory」とMFAシステム全体で一様に必ず無効にする。
- ソフトウェアをアップデートする。また、特にインターネットに公開されている機器へのリモートコード実行(RCE)やDoS(サービス拒否)が可能になる重大で高レベルの脆弱性など、既知の悪用されている脆弱性のパッチ適用の優先度を高める。
- サービスアカウント、管理者アカウント、ドメイン管理アカウントなどすべてのアカウントに強力でユニークなパスワードを求める。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。