ロシア国家関与のサイバーアクター、多要素認証と「Windows」の脆弱性悪用–FBIとCISAが警告

今回は「ロシア国家関与のサイバーアクター、多要素認証と「Windows」の脆弱性悪用–FBIとCISAが警告」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ロシア政府の支援を受けたハッカーが、多要素認証（MFA）を迂回（うかい）した上で、「Windows 10」に潜むプリンタースプーラーの脆弱性を悪用するという巧妙な手法を用い、ネットワークや、価値の高いドメインアカウントを侵害している。目的は、被害者のクラウドや電子メールにアクセスすることだ。

　米連邦捜査局（FBI）と米サイバーセキュリティ・インフラセキュリティ庁（CISA）は米国時間3月15日、ロシア政府の支援を受けたハッカーグループの活動に関する警告を発出した。こうした活動は、ロシアによるウクライナへの軍事侵攻に関連するサイバー活動について、一連の警告が発出される前から行われている。

　ハッカーは少なくとも2021年5月に、非政府機関（NGO）のネットワークを侵害する目的で、MFAソリューションに関わるデフォルト設定の問題と、Windows 10の「PrintNightmare」脆弱性（CVE-2021-34481）を組み合わせていた。

　Microsoftは、Windows 10が抱えていたこの特権昇格の問題に対するパッチを2021年8月に公開している。攻撃者はいったんネットワーク内に侵入した場合、この問題を悪用してWindows 10マシンで新たなアカウントを作成できるようになる。

　このNGOの事例では、強度の弱いパスワードが使用されていたため、攻撃者はパスワード推測攻撃で初期アクセスの認証情報を取得したようだ。さらに攻撃者は、Cisco Systems傘下のDuo Securityのデフォルト設定で休眠中のアカウントに対して新規デバイスを登録できる点を利用していた。

　CISAの警告には、「ロシア政府の支援を受けたサイバー犯罪者は、不正取得した認証情報と、標的とする組織が利用しているDuo MFAの新規デバイス登録機能を悪用して、この組織に対する初期アクセスを獲得した。サイバー犯罪者は総当たりのパスワード類推攻撃で認証情報を取得しており、簡単で予測可能なパスワードを用いているアカウントにアクセスすることができた」と書かれている。

　攻撃者はアカウントへの侵入に成功した後、特権昇格の脆弱性PrintNightmareを悪用し、より高いレベルの管理者権限を獲得した上で、MFAを「実質的に」無効化する変更を実施した。

　CISAは、「この変更によって、MFAサービスはMFAによるログインを認証するためのサーバーに接続できなくなった。そして、Windows版DuoのデフォルトポリシーではMFAサーバーに到達不能である場合、『フェールオープン』するようになっているため、アクティブドメインアカウントに対するMFAが実質的に無効化された」と説明している。

　さらに、この「フェールオープン」の問題はDuoの製品に限った話ではないとCISAは指摘した。

　その後、攻撃者らはより価値の高いアカウントに対してこの操作を繰り返した。彼らはMFAを無効にした後、非管理者ユーザーとして標的組織のVPNに認証し、Windowsのドメインコントローラーに対するRDP接続を確立した。さらに攻撃者は、他のドメインアカウントの認証情報を窃取し、MFAの設定ファイルを変更することで、新たに取得したアカウントのMFAを迂回できるようにした。

　「これらの侵害されたアカウントをMFAを適用せず利用し、ロシア国家の支援を受けたサイバーアクターは、被害者のクラウドストレージと電子メールアカウントへとラテラルに動き、望ましいコンテンツにアクセスすることができた」とCISAは説明した。

　CISAはMFAの実装や、それ以外に関する複数の緩和策を概説している。MFA関連の回避策には以下が挙げられている。