この記事は、Cisco Product Security Incident Response Team の Principal Engineer である Omar Santos によるブログ「Cyber Actors Bypassing Two-Factor Authentication Implementations」(2022/3/15)の抄訳です。
2022 年 3 月 15 日、公開された政府速報に、国家に支援されたサイバーアクターが、Duo 2FA のバイパスに加えて、PrintNightmare の脆弱性(CVE-2021-34527)を利用して、パッチ未適用の Windows マシンを侵害し、管理権限を獲得したことが記載されています。
このシナリオは、Duo のソフトウェアやインフラの明らかな脆弱性やそれを利用したり、するものではなく、ポリシーで緩和できる Duo と Windows の両方の設定の組み合わせを利用したものです。Duo では、設定が現在のビジネスおよびセキュリティのニーズを満たしているかどうかを確認するために、設定を見直すことをお勧めします。ガイダンスは、このブログの推奨事項とベストプラクティスのセクションで提供されています。
FBI の速報によると、サイバーアクターは、多要素認証(MFA)デバイスが登録されていない Duo アカウントを持つユーザーの主要な認証情報へのアクセスを取得することができたとのことです。この活動は、2021 年 5 月の時点で記録されています。その後、行為者は自身の MFA デバイスを登録することができ、登録されると、これらのアカウントを使用して、Duo Authentication for Windows Logon がインストールされた Windows システムを危険にさらすことができました。Windows にログインすると、脅威者はパッチが適用されていないPrintNightmare の脆弱性(CVE-2021-34527)を悪用して管理者権限を取得し、Duo の 2 ファクタ認証コールを Duo のクラウドサービスからリダイレクトして、被害者のファイルにアクセスするために 2FA を効果的に迂回させることができました。
報告されたインシデントの影響は、脅威者が被害者のクラウドストレージおよび電子メール環境にアクセスすることでした。
広い意味で、今回のような事件の影響は、高いセキュリティ態勢を維持することが最も重要であることを再認識させるものです。
新規ユーザーやリピーターの自己登録 (self-enrollment) を許可することは、業界の標準となっています。私たちは、主要な MFA/Access プロバイダーがデフォルトで、他の手段を講じることなく未登録ユーザーの登録を許可していることをテストし、検証しています。この理由は、セキュリティを確保するためだけでなく、IT サポートとエンドユーザーの負荷を減らすためでもあります。
推奨事項とベストプラクティス
一般的なベストプラクティス:
- 複雑または強力なプライマリユーザーパスワードを要求する
- パスワードロックアウトの設定により、パスワードのブルートフォース攻撃を防ぐ
- すべてのシステムに最新のセキュリティパッチを適用する
- ファイルの完全性監視の活用(ドメインコントローラー上のファイルが変更された場合にアラートを設定する)
Duo における推奨事項:
- 信頼できるアプリケーションの数が少ない場合は自己登録 (self-enrollment) を許可し、それ以外の場合は新規ユーザーポリシーのデフォルト設定を「登録を要求する (Reqiure enrollment)」から「アクセスを拒否する (Deny Access)」に変更します。このガイドに従って、新規ユーザーポリシーの設定を変更してください。
- 設定可能なフェイルモードを持つ Duo アプリケーションが Duo のサービスに連絡できない場合に、「フェイルクローズド」または「フェイルセキュア」に設定することを検討します。例:Windows ログオンコンソールおよび RDP ログインのフェイルモードを設定するにはどうすればよいですか?
注)PrintNightmare の脆弱性に対応した Snort シグネチャ ID(SID)57876 と 57877 がリリースされています。