Nederlands

Langdurige samenwerkingsrelatie met eerstelijnsmerken in binnen- en buitenland

Bekijk alle producten

Geavanceerde productietechnologie, uitstekende productkwaliteit en goede reputatie

Bekijk alle producten

Professioneel verkoopadviseurteam om u professionele oplossingen te bieden

Bekijk alle producten

FBI: kwetsbaarheid in Duo MFA-protocol misbruikt bij aanval op NGO - Security.NL

2022-04-21 13:01:42 By : Ms. Bella wu

Aanvallers hebben vorig jaar een NGO door middel van een zwak wachtwoord, een kwetsbaarheid in Cisco’s Duo multifactorauthenticatie (MFA)-protocol en het PrintNightmare-lek in Windows weten te compromitteren, zo claimt de FBI.

De aanvallers wisten via een bruteforce-aanval toegang tot een account met een eenvoudig, voorspelbaar wachtwoord te krijgen. De aangevallen organisatie maakte gebruik van een oplossing van MFA-leverancier Duo voor het beveiligen van accounts. Het gecompromitteerde account was echter vanwege een lange periode van inactiviteit afgemeld bij Duo, maar niet uitgeschakeld in de Active Directory van de NGO.

De standaardconfiguratie van Duo maakt het mogelijk om een nieuw apparaat voor een inactief account aan te melden. Zo konden de aanvallers hun eigen apparaat aan het gecompromitteerde account toevoegen, aan de authenticatievereisten voldoen en zo toegang tot het NGO-netwerk krijgen. Vervolgens maakten de aanvallers gebruik van het PrintNightmare-lek in Windows om hun rechten te verhogen en beheerder te worden.

Ook wijzigden de aanvallers het domeincontrollerbestand, waardoor Duo MFA calls niet naar de Duo-server gingen, maar naar localhost. Hierdoor kan de MFA-service de server niet benaderen om de MFA-login te valideren, wat in principe multifactorauthenticatie voor actieve domeinaccounts uitschakelde. "Omdat het standaardbeleid van Duo voor Windows "Fail open" is wanneer de MFA-server niet kan worden bereikt. "Fail open" kan bij elke MFA-implementatie voorkomen", aldus de FBI.

Na het effectief uitschakelen van MFA wisten de aanvallers op de VPN van de organisatie in te loggen en RDP-verbindingen naar domeincontrollers op te zetten. Vervolgens werden inloggegevens van andere domeinaccounts gestolen en de MFA-configuratie aangepast, zodat er voor deze nieuw gecompromitteerde accounts geen MFA meer was vereist. De aanvallers maakten hierbij voornamelijk gebruik van interne Windows-tools.

Uiteindelijk wisten de aanvallers zich lateraal door het netwerk te bewegen en toegang te krijgen tot de cloudopslag en e-mailaccounts van de NGO. Volgens de FBI was de aanval het werk van door de Russische staat gesponsorde aanvallers.

De FBI adviseert organisaties om verschillende maatregelen te nemen om dergelijke aanvallen te voorkomen. Zo moet MFA voor alle gebruikers zonder uitzondering worden ingesteld. Voor de implementatie moet echter het configuratiebeleid worden gecontroleerd om "Fail open" en het opnieuw aanmelden van apparaten te voorkomen. Verder wordt organisaties geadviseerd om een time-out en lock-out voor herhaaldelijk mislukte inlogpogingen in te stellen en ervoor te zorgen dat inactieve accounts overal zijn uitgeschakeld, zowel in de Active Directory, MFA-oplossing als andere systemen.

Duo roept organisaties op om meteen hun accountstatus te controleren en doet verder verschillende aanbevelingen.

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Nationaal Cyber Security Centrum (NCSC)

Het NCSC heeft een missie: de Nederlandse samenleving weerbaarder maken in het digitale domein. Dit doen wij onder andere door het geven van (maatwerk)adviezen aan Rijksoverheidsorganisaties en vitale infra-structuren. Hiervoor zoeken wij een adviseur cybersecurity die een sleutelrol vervult in het realiseren van onze missie.

Tijd voor een nieuwe challenge? Lijkt het jou leuk om te werken met een team van technische security experts bij het beste securitybedrijf van Nederland? Ter uitbreiding van ons team zijn wij momenteel op zoek naar Trainers, Frontend developers, Backend developers en Sysops. Maak je move naar security en check onze vacatures!

Are you ready for a challenge?

Juridische vraag: Toen ik bestuurslid van de VvE van mijn appartementencomplex werd, kreeg ik een bestuursmailadres met mijn ...

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Bedankt! Je kunt nu inloggen op je account.

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Aanbevolen producten

Nieuwsblog