image

FBI: kwetsbaarheid in Duo MFA-protocol misbruikt bij aanval op NGO

woensdag 16 maart 2022, 11:54 door Redactie, 2 reacties

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI.

De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO.

De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden.

Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI.

Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools.

Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers.

Mitigaties

De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen.

Duo roept organisaties op om meteen hun accountstatus te controleren en doet verder verschillende aanbevelingen.

Image

Reacties (2)
16-03-2022, 15:53 door Anoniem
Is dit een kwetsbaarheid of gewoon weer slecht IT beheer...
17-03-2022, 09:13 door Anoniem
Door Anoniem: Is dit een kwetsbaarheid of gewoon weer slecht IT beheer...

Ik zou zeggen, zowel als ook. Langere tijd niet gebruikte accounts zouden gerapporteerd moeten worden en afgesloten. En een MFA opnieuw instelbaar maken, zou alleen van binnen het domein moeten kunnen en niet automatisch.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.