aiutocomputerhelp
Sicurezza Informatica

PrintNightmare : Advisory congiunto CISA & FBI

Giovanni Popolizio , , , , , ,

PrintNightmare

PrintNightmare ,vecchio come la morte, ma continua a mietere vittime.

La Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) hanno emesso ieri un advisory congiunto sulla cybersecurity con dettagli tecnici, mitigazioni e risorse riguardanti la capacità precedentemente dimostrata di attori informatici sponsorizzati dallo stato russo di ottenere l’accesso alla rete attraverso lo sfruttamento dei protocolli di autenticazione multifattoriale (MFA) di default e una vulnerabilità nota in Windows Print Spooler, “PrintNightmare”.

Già nel maggio 2021, gli attori informatici sponsorizzati dallo stato russo hanno approfittato di un account mal configurato impostato su protocolli MFA predefiniti presso un’organizzazione non governativa, permettendo loro di iscrivere un nuovo dispositivo per MFA e accedere alla rete della vittima. Gli attori hanno poi sfruttato una vulnerabilità critica “PrintNightmare” (CVE-2021-34527) per eseguire codice arbitrario con privilegi di sistema, e poi sono stati in grado di accedere agli account cloud ed e-mail per l’esfiltrazione dei documenti.

PrintNightmare
PrintNightmare

Russian State-Sponsored Cyber Actors Gain Network Access

Questo avviso, intitolato “Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and ‘PrintNightmare’ Vulnerability”, fornisce tattiche, tecniche e procedure (TTPs) osservate; indicatori di compromissione (IOCs); e raccomandazioni di mitigazione. L’FBI e la CISA esortano tutte le organizzazioni a intraprendere azioni immediate per proteggersi da questa attività malevola e applicare le mitigazioni raccomandate come:

  • Applicare l’MFA per tutti gli utenti, senza eccezioni, e assicurarsi che sia adeguatamente configurato per proteggere contro gli scenari di “fail open” e re-enrollment
  • Implementare funzioni di time-out e lock-out
  • Disabilitare uniformemente gli account inattivi in active directory, MFA, ecc.
  • Aggiornare il software, dando priorità alle vulnerabilità conosciute e sfruttate.
  • Monitorare continuamente i log di rete per attività sospette
  • Implementare politiche di allerta per la sicurezza

CISA

Alla CISA, siamo grandi sostenitori dell’autenticazione multifattoriale. Rimane una delle misure più efficaci che gli individui e le organizzazioni possono prendere per ridurre il loro rischio di attività informatiche dannose. Questo avviso dimostra l’imperativo che le organizzazioni configurano correttamente l’MFA per massimizzare l’efficacia“, ha detto il direttore della CISA Jen Easterly. “Ora, più che mai, le organizzazioni devono alzare gli scudi per proteggersi dalle intrusioni informatiche, il che significa applicare le mitigazioni in questo avviso, tra cui l’applicazione dell’MFA per tutti gli utenti senza eccezioni, patchando le vulnerabilità conosciute sfruttate, e garantendo che l’MFA sia implementato in modo sicuro“.

FBI

L’FBI, insieme ai nostri partner federali e internazionali, continuerà a perseguire gli attori informatici che si impegnano in questo tipo di attività dannose mirate di accesso non autorizzato e l’esfiltrazione dei dati”, ha detto l’assistente direttore della divisione Cyber dell’FBI Bryan Vorndran. “Incoraggiamo le organizzazioni che possono aver sperimentato questo tipo di sfruttamento a riferire all’FBI e/o alla CISA e a fornirci ulteriori informazioni in modo da poter continuare a scoraggiare e interrompere gli attori dello stato-nazione. L’FBI , quindi, non tollererà questo tipo di attività criminale e useremo tutti gli strumenti della nostra cintura per combattere questa minaccia“.

La CISA ha aggiornato la pagina web Shields Up per includere nuovi servizi e risorse. Ci sono raccomandazioni per i leader aziendali e gli amministratori delegati, e azioni per proteggere le risorse critiche. Inoltre, la CISA ha creato una nuova pagina web Shields Up Technical Guidance che dettaglia altre attività informatiche dannose che colpiscono l’Ucraina. La pagina web include risorse tecniche dai partner per assistere le organizzazioni contro queste minacce.