Cómo los hackers de SolarWinds evitaron la autenticación multifactor de Duo


Cómo los hackers de SolarWinds evitaron la autenticación multifactor de Duo

Esto es interesante:

Hacia el remaining del segundo incidente en el que Volexity trabajó con Darkish Halo, se observó al actor accediendo a la cuenta de correo electrónico de un usuario a través de OWA. Esto fue inesperado por varias razones, una de las cuales fue que el buzón de correo de destino estaba protegido por MFA. Los registros del servidor de Trade mostraron que el atacante proporcionó autenticación de nombre de usuario y contraseña como de costumbre, pero no fue cuestionado por un segundo element a través de Duo. Los registros del servidor de autenticación de Duo mostraron además que no se había intentado iniciar sesión en la cuenta en cuestión. Volexity pudo confirmar que el secuestro de sesiones no estaba involucrado y, a través de un volcado de memoria del servidor OWA, también pudo confirmar que el atacante había presentado una cookie vinculada a una sesión Duo MFA llamada duo-sid.

La investigación de Volexity sobre este incidente determinó que el atacante había accedido a la clave secreta de integración de Duo (una llave) desde el servidor OWA. Esta clave luego permitió al atacante derivar un valor precalculado para ser configurado en la cookie duo-sid. Después de una autenticación de contraseña exitosa, el servidor evaluó la cookie duo-sid y determinó que era válida. Esto permitió al atacante con conocimiento de una cuenta de usuario y una contraseña para luego omitir por completo el MFA establecido en la cuenta. Cabe señalar que esto no es una vulnerabilidad con el proveedor de MFA y subraya la necesidad de garantizar que todos los secretos asociados con las integraciones clave, como los que tienen un proveedor de MFA, deben cambiarse después de una infracción.

Nuevamente, esta no es una vulnerabilidad de Duo. Desde ArsTechnica:

Si bien el proveedor de MFA en este caso period Duo, fácilmente podría haber involucrado a cualquiera de sus competidores. El modelado de amenazas MFA generalmente no incluye un compromiso completo del sistema de un servidor OWA. El nivel de acceso que logró el hacker fue suficiente para neutralizar casi cualquier defensa.

Publicado el 15 de diciembre de 2020 a las 14:13 h •
comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia authentic