Jak podaje amerykańska agencja ds. cyberbezpieczeństwa CISA, hakerzy uzyskali dostęp do sieci organizacji rządowej USA, korzystając ze skompromitowanych danych uwierzytelniających konta administracyjnego byłego pracownika.
Wielokrotnie pisaliśmy o tym, jak bardzo istotne jest zarządzanie uprawnieniami, w tym przede wszystkim uprawnieniami uprzywilejowanymi, we współczesnym bezpieczeństwie. Pisaliśmy o Zero Trust, a właściwie o ewolucji tego podejścia. Pisaliśmy o zarządzaniu poprzez role. Regularnie wskazujemy również sposoby zabezpieczania AD.
Dlaczego to ostatnie zagadnienie jest tak ważne, pokazuje dzisiejszy przykład włamania. Korzystając z naruszonych poświadczeń, osoby atakujące uzyskały dostęp do wewnętrznej sieci VPN, przeprowadziły rozpoznanie środowiska lokalnego i wykonały zapytania LDAP na kontrolerze domeny.
Organizacja, której nazwy CISA nie wymienia, nie usunęła konta byłego pracownika, co umożliwiło ugrupowaniu zagrażającemu prowadzenie działań rozpoznawczych i odkrywczych.
Dane uwierzytelniające, które zapewniały dostęp do dwóch wirtualnych serwerów, a mianowicie do SharePoint i stacji roboczej pracownika, zostały uzyskane w wyniku innego naruszenia bezpieczeństwa danych i można je było znaleźć „w publicznie dostępnych kanałach zawierających informacje o kontach, które wyciekły” – twierdzi CISA.
Z serwera SharePoint hakerzy wyodrębnili poświadczenia drugiego pracownika i użyli ich do uwierzytelnienia w lokalnej usłudze Active Directory i usłudze Azure AD, uzyskując uprawnienia administracyjne.
Napastnicy opublikowali informacje skradzione organizacji rządowej, w tym dokumenty zawierające informacje o hostach i użytkownikach oraz metadane, na forum w dark necie, i dopiero ten ostatni fakt spowodował wszczęcie śledztwa i działań zaradczych.
Konto użytkownika zostało natychmiast wyłączone, a dwa zwirtualizowane serwery przełączono w tryb offline. Organizacja będąca ofiarą zmieniła także dane uwierzytelniające drugiego zhakowanego konta i usunęła jego uprawnienia administracyjne.
„Żadne z kont administracyjnych nie miało włączonego uwierzytelniania wieloskładnikowego (MFA)” – zauważa CISA.
Według agencji ugrupowanie zagrażające wykonywało zapytania LDAP na kontrolerze domeny za pomocą narzędzia typu open source, aby gromadzić informacje o użytkownikach, hostach i relacjach zaufania, a następnie wysyłało powstałe pliki tekstowe na sprzedaż w dark necie.
W przypadku wykrywania plików, folderów i katalogów podmiot zagrażający uwierzytelnia się na różnych punktach końcowych przy użyciu protokołu CIFS, zwykle stosowanego w przypadku współdzielonego dostępu do plików. W sumie napastnicy uwierzytelnili się w 16 usługach.
Pamiętajmy, podstawą bezpieczeństwa w większych organizacjach jest cykliczne sprawdzanie bieżących kont administracyjnych i usuwanie tych, które są zbędne, ograniczenie korzystania z wielu kont administratorów dla jednego użytkownika, utworzenie oddzielnych kont administratorów dla środowisk lokalnych i chmurowych, wdrożenie zasad Zero Trust.
Organizacje powinny ponadto: niezwłocznie usuwać wszelkie niepotrzebne konta – nie tylko administracyjne, utrzymywać solidną politykę zarządzania aktywami, aktualizować wszystkie systemy i aplikacje, zapobiegać łączeniu się urządzeń osobistych z siecią, oceniać uprawnienia użytkowników, umożliwiać logowanie, używać narzędzi do identyfikowania ścieżek ataków, stosować silne zarządzanie hasłami, bezpiecznie przechowywać dane uwierzytelniające i cyklicznie sprawdzać swoje mechanizmy bezpieczeństwa.