ロシアのハッカーが、多要素認証(MFA)とWindowsの印刷スプーラーに内在する脆弱(ぜいじゃく)性「PrintNightmare」を用い、あるNGOに侵入したことを連邦捜査局(FBI)などが明かしました。

Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability | CISA

https://www.cisa.gov/uscert/ncas/alerts/aa22-074a

Mitigating Threats Posed by Russian State-Sponsored Cyber Actors’ Exploitation of Default Multifactor Authentication Protocol and "PrintNightmare" Vulnerability | CISA

https://www.cisa.gov/news/2022/03/15/mitigating-threats-posed-russian-state-sponsored-cyber-actors-exploitation-default

How to Prevent Cyber Actors from Bypassing Two-Factor Authentication Implementation | Duo Security

https://duo.com/blog/how-to-prevent-cyber-actors-from-bypassing-two-factor-authentication-implementation

FBIおよびサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、ハッカーはブルートフォース攻撃によって得られた資格情報を基に、NGOの多要素認証(MFA)用端末として設定された非アクティブのアカウントにアクセス。自らのデバイスを新しいMFA用端末として登録し、NGOのシステムに侵入したとのこと。そして、以前明らかになっていたPrintNightmareの脆弱性を悪用し、システム権限で任意のコードを実行していたとのことです。

FBIおよびCISAは「ハッカーはクラウドアカウントとメールアカウントにアクセスできるようにした」と述べて、資料が盗まれた可能性を示しています。



両機関はMFA用端末の新規登録設定を見直し、またアクティブになっていないアカウントからのアクセスを無効化するよう各組織に求めています。また、前述のPrintNightmareはすでにMicrosoftによって修正パッチがあてられていることから、アップデートを実施することも呼びかけています。

FBIサイバー部門のブライアン・ボーンドラン氏は「FBIは、連邦および国際的なパートナーとともに、データの不正アクセスおよび漏えいというこの種の標的型攻撃を行うハッカーを追跡し続けます」「この種の侵害を経験した可能性のある組織は、FBIやCISAに報告し、追加情報を提供することをお勧めします。FBIはこの種の犯罪行為を容認せず、この脅威に対抗するために全力を尽くします」 と述べました。