מיקרוסופט איתרה מעקף אימות מתוחכם עבור Active Directory Federated Services (AD FS), שחלו על ידי קבוצת Nobelium המקושרת לרוסיה.
התוכנה הזדונית שאפשרה את מעקף האימות - שמיקרוסופט כינתה MagicWeb - העניקה ל-Nobelium את היכולת להשתיל דלת אחורית בשרת AD FS של הלקוח ללא שם, ולאחר מכן להשתמש בתעודות בעלות מבנה מיוחד כדי לעקוף את תהליך האימות הרגיל. מגיבים לאירועים של מיקרוסופט אספו נתונים על זרימת האימות, לכדו את אישורי האימות שבהם השתמש התוקף, ולאחר מכן הנדסו לאחור את קוד הדלת האחורית.
שמונת החוקרים לא היו ממוקדים "כל כך [ב] יחידה כמו איך לעשות זאת", צוות האיתור והתגובה של מיקרוסופט (DART) נאמר בפרסום של סדרת הסייבר תקיפה לאירועים.
"לתוקפי מדינות לאום כמו נובליום יש לכאורה תמיכה כספית וטכנית בלתי מוגבלת מהספונסר שלהם, כמו גם גישה לטקטיקות, טכניקות ונהלים (TTP) ייחודיים ומודרניים של פריצה", הצהירה החברה. "בניגוד לרוב השחקנים הרעים, נובליום משנה את האומנות שלהם כמעט בכל מכונה שהם נוגעים בהם."
המתקפה מדגישה את התחכום ההולך וגובר של קבוצות APT, אשר מכוונות יותר ויותר לרשתות אספקה טכנולוגיות, כגון SolarWinds הפרה, ו מערכות זהות.
"כיתת אמן" בשחמט סייבר
MagicWeb השתמשה באישורים בעלי זכויות יתר כדי לעבור לרוחב דרך הרשת על ידי השגת גישה מנהלתית למערכת AD FS. AD FS היא פלטפורמת ניהול זהויות המציעה דרך ליישם כניסה יחידה (SSO) על פני מערכות ענן מקומיות וצד שלישי. קבוצת Nobelium שילבה את התוכנה הזדונית עם ספריית קישורים דינמית בדלת אחורית (DLL) המותקנת ב-Global Assembly Cache, חלק לא ברור של תשתית NET, אמרה מיקרוסופט.
MagicWeb, אשר מיקרוסופט תיארה לראשונה באוגוסט 2022, נבנה על כלים קודמים לאחר ניצול, כגון FoggyWeb, שיכול לגנוב אישורים משרתי AD FS. חמושים באלה, התוקפים יכולים לפלס את דרכם עמוק לתוך התשתית הארגונית, לסנן נתונים לאורך הדרך, לפרוץ לחשבונות ולהתחזות למשתמשים.
רמת המאמץ הדרושה כדי לחשוף את כלי ההתקפה והטכניקות המתוחכמים מראה שהדרגים הגבוהים של התוקפים דורשים מחברות לשחק את ההגנה הטובה ביותר שלהן, לפי מיקרוסופט.
"רוב התוקפים משחקים משחק דמקה מרשים, אבל יותר ויותר אנחנו רואים שחקני איומים מתקדמים משחקים משחק שחמט ברמה של כיתת אמן", הצהירה החברה. "למעשה, נובליום נשארת פעילה מאוד, ומבצעת מספר קמפיינים במקביל לארגונים ממשלתיים, ארגונים לא ממשלתיים (NGOs), ארגונים בין-ממשלתיים (IGOs), וצוותי חשיבה ברחבי ארה"ב, אירופה ומרכז אסיה".
הגבלת הרשאות עבור מערכות זהות
חברות צריכות להתייחס למערכות AD FS ולכל ספקי הזהויות (IdPs) כנכסים מועדפים באותה שכבת הגנה (Tier 0) כמו בקרי תחום, כך הצהירה מיקרוסופט בייעוץ לתגובת התקריות שלה. אמצעים כאלה מגבילים מי יכול לגשת לאותם מארחים ומה המארחים האלה יכולים לעשות במערכות אחרות.
בנוסף, כל טכניקת הגנה שמעלה את עלות הפעולה של תוקפי סייבר יכולה לסייע במניעת התקפות, הצהירה מיקרוסופט. חברות צריכות להשתמש באימות רב-גורמי (MFA) בכל החשבונות ברחבי הארגון ולוודא שהן עוקבות אחר זרימות נתוני האימות כדי לקבל נראות לאירועים חשודים פוטנציאליים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- יכולת
- גישה
- פי
- חשבונות
- לרוחב
- פעיל
- שחקנים
- Ad
- תוספת
- מנהלי
- מתקדם
- ייעוץ
- תעשיות
- ו
- APT
- חמוש
- אסיה
- עצרת
- נכסים
- לתקוף
- המתקפות
- אוגוסט
- אימות
- דלת אחורית
- רע
- הטוב ביותר
- הפרה
- שבירה
- נבנה
- סליק
- נקרא
- קמפיינים
- לכידה
- מֶרכָּזִי
- מרכז אסיה
- תעודות
- אישורים
- שרשראות
- שינויים
- שחמט
- ענן
- קוד
- חברות
- חברה
- עלות
- יכול
- לקוח
- סייבר
- התקפת סייבר
- DART
- נתונים
- עמוק
- גופי בטחון
- הגנתי
- מְתוּאָר
- איתור
- תחום
- מטה
- דינמי
- מאמץ
- אירופה
- אירועים
- כל
- מבצע
- ראשון
- תזרים
- זורם
- מרוכז
- החל מ-
- FS
- זכייה
- מִשְׂחָק
- גלוֹבָּלִי
- ממשלה
- קְבוּצָה
- קבוצה
- פריצה
- לעזור
- פסים
- מאוד
- מארחים
- HTTPS
- זהות
- ניהול זהות
- יישום
- מרשים
- in
- תקרית
- תגובה לאירוע
- גדל
- יותר ויותר
- תשתית
- מותקן
- חוקרים
- רמה
- סִפְרִיָה
- להגביל
- קשר
- מכונה
- לעשות
- תוכנות זדוניות
- ניהול
- כיתת אמן
- אמצעים
- משרד חוץ
- מיקרוסופט
- מודרני
- מוניטרית
- צג
- רוב
- המהלך
- אימות רב-פקטורי
- מספר
- תעלומה
- צורך
- נטו
- רשת
- ארגונים לא ממשלתיים
- נוֹרמָלִי
- המיוחדות שלנו
- תפעול
- ארגון
- אִרְגוּנִי
- ארגונים
- אחר
- מְזוּוָג
- מקביל
- לְחַבֵּר
- חלוצית
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- משחק
- פוטנציאל
- למנוע
- קודם
- חסוי
- הרשאות
- נהלים
- תהליך
- מָגֵן
- ספקים
- להעלות
- שְׂרִידִים
- לדרוש
- תגובה
- אמר
- אותו
- סדרה
- שרתים
- שירותים
- צריך
- הופעות
- יחיד
- So
- מתוחכם
- במיוחד
- סנדק
- אמור
- כזה
- לספק
- שרשראות אספקה
- תמיכה
- חשוד
- מערכת
- מערכות
- טקטיקה
- טנקים
- ממוקד
- מיקוד
- נבחרת
- טכני
- טכניקות
- טכנולוגיה
- השמיים
- שֶׁלָהֶם
- צד שלישי
- איום
- איום שחקנים
- דרך
- בכל
- נִדבָּך
- ל
- כלים
- לגעת
- טיפול
- לגלות
- ייחודי
- בלתי מוגבל
- ללא שם
- us
- להשתמש
- משתמשים
- ראות
- מה
- אשר
- מי
- זפירנט
