Thursday, March 17, 2022 10:30 AM
ロシアのハッカーら、「プリントナイトメア」を悪用
米国の連邦捜査局(FBI)とサイバーセキュリティー&インフラストラクチャー・セキュリティー局(Cybersecurity and Infrastructure Security Agency=CISA)は3月15日、ロシア政府の支援を受けているサイバー犯罪集団が「プリントナイトメア(PrintNightmare)」と呼ばれる多要素認証の脆弱性を悪用して、非政府組織(NGO)のシステムに侵入したと発表した。
ベンチャービート誌によると、プリントナイトメアは遠隔操作コードの実行に関する脆弱性で、マイクロソフト・ウィンドウズの印刷スプーラー機能に影響している。その脆弱性は2021年夏に開示され、マイクロソフトが一連の修正パッチをリリースした。
サイバーセキュリティー・サービスを提供するヴァルカン・サイバー(Vulcan Cyber)の上席技術工学者マイク・パーキン氏は、今回のサイバー攻撃について、「利用者アカウントを正しく管理することや、セキュリティー修正パッチがリリースされた場合にできるだけ早く実装することの重要性を示している」と指摘した。
今回の攻撃は、完全に無効化されているべきだった脆弱なアカウントや、標的とされたシステム環境の脆弱性によって可能になった、と同氏は分析している。
FBIとCISAによると、ロシア側の攻撃者たちは、多要素認証のデフォルト・プロトコールを観察し、そのNGOのクラウドと電子メール・アカウントにアクセスした。そして、プリントナイトメアの脆弱性を悪用して通信網内を動き回り文書を取得した。同攻撃は、2021年5月に始まっていたとみられる。被害を受けたNGOの所在地や名称は明らかにされていない。
アカウントの認証語を取得するにあたっては、「総当たり攻撃」で推測されたもよう。単純で予想しやすい認証語が使われていた、とFBIとCISAは説明している。また、アカウントの設定に弱さがあり、デフォルトの多要素認証プロトコールがそのまま放置されていた。
プリントナイトメアは、アカウントの権限を管理者権限に格上げするのに利用された。その結果、ハッカーらは、多要素認証を無効化し、VPN(virtual private network)に接続して、遠隔デスクトップ・プロトコールでウィンドウズのドメイン・コントローラーにアクセスした。
https://venturebeat.com/2022/03/15/russian-hackers-exploited-mfa-and-printnightmare-vulnerability-in-ngo-breach-u-s-says/