近日，美國聯(lián)邦調(diào)查局(FBI)表示，俄羅斯政府支持的黑客組織正積極利用錯誤配置的默認多因素認證(MFA)協(xié)議，將自己的設(shè)備注冊到機構(gòu)組織的Duo MFA后，從而進入一些非政府組織的云端。

為了攻破網(wǎng)絡(luò)，他們會以一個未注冊且未激活的賬號暴力破解密碼攻擊中泄露的證書。通常，他們使用的賬戶是機構(gòu)組織的活動目錄中尚未禁用的。

“由于Duo的默認配置允許休眠賬戶重新注冊新設(shè)備，所以攻擊者能夠為賬戶注冊新設(shè)備，完成認證要求，并獲得訪問受害者網(wǎng)絡(luò)的權(quán)限”， 聯(lián)邦機構(gòu)解釋道，“由于長期不活動，受害者帳戶已從Duo注銷，但在活動目錄中未被禁用。”

攻擊的下一步是在修改域控制器文件后，通過將所有Duo MFA接入重定向到本地主機而不是Duo服務(wù)器來禁用MFA服務(wù)。這就使得他們能夠以非管理員用戶身份驗證到非政府組織的虛擬專用網(wǎng)絡(luò)(VPN)，通過遠程桌面協(xié)議(RDP)連接到Windows域控制器，并獲得其他域帳戶的憑證。

在這些被盜賬戶的幫助下，攻擊者們能夠在沒有MFA執(zhí)行的情況下橫向移動，訪問云存儲和電子郵件賬戶，并竊取數(shù)據(jù)。

對此，F(xiàn)BI和CISA今天在一份聯(lián)合網(wǎng)絡(luò)安全咨詢中給組織機構(gòu)提供了以下緩解措施:

• 執(zhí)行MFA并檢查配置策略，以防止“失敗打開”和重新注冊場景。
• 確?？鏏ctive Directory和MFA系統(tǒng)統(tǒng)一禁用不活躍帳戶。
• 給所有系統(tǒng)打補丁，優(yōu)先為已知被利用的漏洞打補丁。

另外，F(xiàn)BI和CISA在聯(lián)合報告中也分享了關(guān)于戰(zhàn)術(shù)、技術(shù)和程序(TTPs)、妥協(xié)指標(biāo)(ioc)和防止這種惡意活動的額外建議信息。

其實，此前就有聯(lián)合報告向美國政府發(fā)出警告，稱俄羅斯國家黑客在近期會攻擊支持陸軍、空軍、海軍、太空部隊、國防部和情報項目的美國國防承包商。包括APT29、APT28和沙蟲團隊(Sandworm Team)在內(nèi)的俄羅斯黑客組織一直對美國關(guān)鍵基礎(chǔ)設(shè)施部門的組織虎視眈眈。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement/