Gli hacker russi si intromettono nei sistemi informatici attraverso sviste di configurazione MFA

Gli hacker attaccano MFA, sistema di autenticazione a due fattori. Secondo un avviso congiunto sulla cyber security emesso da CISA («Cybersecurity and Infrastructure Security Agency») e FBI («Federal Bureau of Investigation»), gli hacker russi, sostenuti dallo stato, starebbero sfruttando attivamente una combinazione di vulnerabilità di configurazione MFA e «PrintNightmare» – vulnerabilità di sicurezza che colpisce il sistema operativo Microsoft Windows e in particolare il servizio spooler di stampa -, per penetrare nelle reti ed estrarre dati e email. 

Leggi anche > Attacco hacker a più grande azienda spaziale russa

Attacco MFA: CISA e FBI avvisano di un attacco hacker in corso da maggio 2021

Secondo CISA e FBI, l’attacco sarebbe in corso da maggio dello scorso anno. Entrambe sottolineano, in questa occasione, l’importanza di effettuare una corretta configurazione dell’MFA – ovvero dell’autenticazione a più fattori, modalità di autenticazione elettronica in cui ad un utente viene consentito l’accesso ad un sito o app solo dopo aver superato con due o più prove un meccanismo di autenticazione -, nonché la disabilitazione degli account inattivi. Gli hacker russi sfrutterebbero account con configurazioni MFA errate, che permetterebbero loro di registrare un nuovo dispositivo nel sistema. Attraverso quel dispositivo, poi, gli stessi sfrutterebbero l’exploit «PrintNightmare» (CVE-2021-34527) per eseguire un codice arbitrario e ottenere l’accesso ed il controllo del sistema. Gli hacker russi, in questo modo, sono riusciti a sottrarre file e accedere agli account di posta elettronica di nascosto.

Che cos’è «PrintNightmare»? Facciamo un passo indietro. A metà dell’anno scorso, i ricercatori di cyber security esaminarono una vulnerabilità nel servizio Windows Print Spooler, che nominarono «PrintNightmare». La porzione di software creata per aggiornare o migliorare un programma, detta anche «patch», rilasciata a fine giugno, avrebbe dovuto correggere questa vulnerabilità, e questo ha fatto, ma se ne è scoperta un’altra. L’aggiornamento ha, dunque, risolto la CVE-2021-1675 ma non la CVE-2021-34527. Su pc o server con Windows senza patch, gli hacker possono servirsi di questa vulnerabilità per ottenere accesso all’Active Directory ed il controllo del dispositivo, dato che Windows Print Spooler è attivo «di default» su qualsiasi sistema Windows.

Secondo l’avviso rilasciato, gli hacker russi avrebbero sfruttato la vulnerabilità MFA contro una ONG nel maggio del 2021. L’attacco, secondo quanto dichiarato da Mike Parkin a VentureBeat, ingegnere tecnico senior presso l’azienda di risoluzione dei rischi informatici Vulcan Cyber, «è un ottimo esempio di come la cultura di protezione degli account  sia così importante e perché le patch di sicurezza devono essere introdotte non appena possibile». In questo caso, gli attori delle minacce sono stati abili nell’accedere al cloud e agli account e-mail di una ONG, per entrare nella rete della stessa ed estrarre dati e documenti. Non è nota l’ubicazione dell’organizzazione né il lasso di tempo impiegato per portare a compimento tale attacco. Gli hacker erano in possesso della password compromessa «semplice e prevedibile» di un account inattivo ma valido. L’autenticazione a più fattori dell’organizzazione ha permesso loro di registrare il dispositivo su questo account, che è stato utilizzato per ottenere un’autenticazione di basso livello in grado di effettuare l’attacco «PrintNightmare».

Aaron Turner, vicepresidente di SaaS Posture presso Vectra, sconsiglia completamente l’utilizzo di qualsiasi tipo di provider MFA di terze parti, come Duo: «risalenti agli attacchi di Dark Halo del marzo 2020, i russi hanno dimostrato di aver sviluppato capacità significative per aggirare l’AMF quando è mal implementata o gestita in modo tale da consentire agli aggressori di compromettere parti materiali delle catene di approvvigionamento di identità cloud. Quest’ultimo avviso mostra che le organizzazioni che hanno implementato l’AMF come soluzione di conformità “seleziona la casella” stanno vedendo lo sfruttamento della vulnerabilità dell’MFA su vasta scala. Risalendo all’avviso di dicembre 2020 della NSA, le organizzazioni sono state avvisate che dovrebbero eliminare l’uso di provider di identità di terze parti per i sistemi critici. Duo è un provider di identità di terze parti. Qualsiasi organizzazione che non elimini attivamente i provider di identità di terze parti dalle loro catene di approvvigionamento di identità cloud incontrerà problemi crescenti… Come sottolinea il documento NSA, le organizzazioni dovrebbero disabilitare immediatamente tutti i provider di identità di terze parti dai sistemi che ospitano identità e informazioni materiali. Se ciò non può essere fatto per la popolazione generale di utenti, dovrebbe essere fatto per tutte le identità privilegiate. Inoltre, è importante evitare l’uso di app di autenticazione mobile per le identità privilegiate. La condizione di competizione creata dagli autenticatori mobili è quella che la maggior parte dei team di sicurezza e gestione dei dispositivi mobili non è pronta a gestire perché l’igiene dei dispositivi mobili è così difficile. L’utilizzo di Yubikeys dovrebbe essere lo standard de facto per tutte le identità privilegiate nelle piattaforme cloud».