近日，美國聯邦調查局(FBI)表示，俄羅斯政府支持的黑客組織正積極利用錯誤配置的默認多因素認證(MFA)協議，將自己的設備注冊到機構組織的Duo MFA后，從而進入一些非政府組織的云端。

為了攻破網絡，他們會以一個未注冊且未激活的賬號暴力破解密碼攻擊中泄露的證書。通常，他們使用的賬戶是機構組織的活動目錄中尚未禁用的。

“由于Duo的默認配置允許休眠賬戶重新注冊新設備，所以攻擊者能夠為賬戶注冊新設備，完成認證要求，并獲得訪問受害者網絡的權限”， 聯邦機構解釋道，“由于長期不活動，受害者帳戶已從Duo注銷，但在活動目錄中未被禁用。”

攻擊的下一步是在修改域控制器文件后，通過將所有Duo MFA接入重定向到本地主機而不是Duo服務器來禁用MFA服務。這就使得他們能夠以非管理員用戶身份驗證到非政府組織的虛擬專用網絡(VPN)，通過遠程桌面協議(RDP)連接到Windows域控制器，并獲得其他域帳戶的憑證。

在這些被盜賬戶的幫助下，攻擊者們能夠在沒有MFA執行的情況下橫向移動，訪問云存儲和電子郵件賬戶，并竊取數據。

對此，FBI和CISA今天在一份聯合網絡安全咨詢中給組織機構提供了以下緩解措施:

• 執行MFA并檢查配置策略，以防止“失敗打開”和重新注冊場景。
• 確保跨Active Directory和MFA系統統一禁用不活躍帳戶。
• 給所有系統打補丁，優先為已知被利用的漏洞打補丁。

另外，FBI和CISA在聯合報告中也分享了關于戰術、技術和程序(TTPs)、妥協指標(ioc)和防止這種惡意活動的額外建議信息。

其實，此前就有聯合報告向美國政府發出警告，稱俄羅斯國家黑客在近期會攻擊支持陸軍、空軍、海軍、太空部隊、國防部和情報項目的美國國防承包商。包括APT29、APT28和沙蟲團隊(Sandworm Team)在內的俄羅斯黑客組織一直對美國關鍵基礎設施部門的組織虎視眈眈。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement/