国家行动者通过利用默认 MFA 协议和 Windows Print Spooler 漏洞“PrintNightmare”( CVE-2021-34527 ) 获得了对网络的访问权限。

早在 2021 年 5 月，攻击者就利用了一个非政府组织 (NGO) 设置为默认 MFA 协议的错误配置帐户，允许他们为 MFA 注册新设备并访问受害者网络。

利用 PrintNightmare 漏洞，攻击者可以使用系统权限运行任意代码。俄罗斯国家支持的网络攻击者成功利用了该漏洞，同时针对使用 Cisco 的 Duo MFA 的非政府组织，允许访问云和电子邮件帐户以进行文档泄露。

为了破坏目标网络，攻击者对未注册和不活动的帐户进行了暴力密码猜测攻击。与推荐的最佳做法相反，该帐户在组织的 Active Directory 中仍然处于活动状态。

“由于长时间不活动，受害者帐户已从 Duo 中取消注册，但并未在 Active Directory 中禁用。由于 Duo 的默认配置设置允许为休眠帐户重新注册新设备，因此攻击者能够为该帐户注册新设备，完成身份验证要求，并获得对受害者网络的访问权限。” 阅读联合咨询。  

“使用受感染的帐户，俄罗斯国家支持的网络参与者通过利用“PrintNightmare”漏洞进行权限升级，以获得管理员权限。”

一旦获得管理员权限，攻击者修改域控制器文件以将 Duo MFA 调用重定向到 localhost 而不是合法的 Duo 服务器，以防止 MFA 服务联系其服务器以验证 MFA 登录。

此技巧允许攻击者完全禁用活动域帐户的 MFA，因为 Windows 版 Duo 的默认策略是如果 MFA 服务器无法访问，则“失败打开”。 

“在有效禁用 MFA 后，俄罗斯国家支持的网络攻击者能够以非管理员用户的身份成功向受害者的虚拟专用网络 (VPN) 进行身份验证，并与 Windows 域控制器建立远程桌面协议 (RDP) 连接 [ T1133 ]。参与者运行命令以获取其他域帐户的凭据；然后使用上一段中描述的方法，更改了 MFA 配置文件，并为这些新受感染的帐户绕过了 MFA。” 继续分析。“攻击者主要利用受害者网络中已经存在的内部 Windows 实用程序来执行此活动。”

FBI 和 CISA 共享了上述攻击的妥协指标，并在加入咨询中提供了以下建议：

• 对所有用户强制执行 MFA，无一例外。在实施之前，组织应审查配置策略以防止出现“失败开放”和重新注册情况。
• 实施超时和锁定功能以响应重复的失败登录尝试。
• 确保在 Active Directory、MFA 系统等中统一禁用非活动帐户。
• 及时更新 IT 网络资产上的软件，包括操作系统、应用程序和固件。优先修补 已知被利用的漏洞，尤其是允许在面向互联网的设备上远程执行代码或拒绝服务的关键和高漏洞。
• 要求所有使用密码登录的帐户（例如，服务帐户、管理员帐户和域管理员帐户）都具有强而唯一的密码。密码不应跨多个帐户重复使用或存储在对手可能有权访问的系统上。
• 持续监控网络日志中的可疑活动以及未经授权或异常的登录尝试。
• 为启用安全的帐户/组的所有更改实施安全警报策略，并对可疑的进程创建事件（ntdsutil、 rar、 regedit等）发出警报。