「老舊帳號」劫持+「PrintNightmare」漏洞入侵!俄羅斯國家級駭客讓雙因素認證破功

作者 | 發布日期 2022 年 03 月 21 日 12:00 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


根據美國 FBI 聯邦調查局與美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)最新報告指出,早在 2021 年 5 月,某間未被透露名稱的非政府組織(NGO),因旗下帳號遭到俄羅斯國家贊助駭客入侵,而導致敏感資料外洩。據悉,這些駭客入侵並啟動了長久未使用的舊帳號,並在避開 2FA 雙因素認證後成功登錄系統,然後再透過名為「列印惡夢」(PrintNightmare)的 Windows Print Spooler 服務漏洞,為所欲為地展開竊取敏感資料等各種惡意勾當。 

雖然雙因素認證已經被視為是確保帳號與資料安全的重要機制,但不代表它本身沒有安全漏洞。因為俄羅斯國家贊助駭客成功破解原本能保護系統安全的雙因素認證,並讓系統誤將他們所劫持的帳號與後續存取行為視為合法。

FBI 及 CISA 安全報告指出,除了弱密碼不安全外,長久未使用的舊帳號更可能成為一大安全漏洞。這次俄羅斯國家級駭客就是透過老舊帳號,成功規避雙因素認證,讓被持劫的老舊帳號成為系統眼中的合法帳號,駭客接著再運用 PrintNightmare 漏洞展開各種進一步攻擊。

去年出現的 PrintNightmare 漏洞,可說是能讓 Windows 系統曝露在任意程式碼執行風險的重大安全漏洞。一旦駭客成功入侵,便能取得完全的系統級權限,到了這個地步,駭客基本上想做什麼都可以。

該報告強調,系統安全防衛(System Hygiene)才是確保一切安全的基本準則。不論個人還是非政府組織,良好強固密碼的實踐以及刪除老舊無用帳號,會是確保系統安全的兩大關鍵步驟。

再就 2 月份 BBC 英國廣播公司的報導指出,有將近 3/4 的勒索軟體所得資金最終流進只與俄羅斯有關駭客的手中。所以不管是個人攻擊者還是國家贊助駭客集團,只要掌握到規避雙因素認證的方法,再輔以 PrintNightmare 之類的任意程式碼執行漏洞,勢將掀起可怕的安全風暴。

(首圖來源:pixabay