Ruska hakerska grupa otima ADFS proces autentifikacije

Novi zlonamjerni softver koji koristi ruska hakerska grupa APT29 (poznat i kao NOBELIUM ili Cosy Bear) potkopava proces autentifikacije ADFS (Active Directory Federation Services) i omogućava zlonamjernim korisnicima da se prijave kao bilo tko u Windowse. Čini se da akteri prijetnji brzo inoviraju i fokusiraju se na Microsoft, koristeći lokalne komponente Active Directory, u ovom slučaju ADFS.

Nova zlonamjerna alatka zove se 'MagicWeb' i predstavlja modifikaciju procesa autentifikacije ADFS-a koji zamjenjuje legitimni sistemski DLL zlonamjernom verzijom za manipuliranje korisničkim certifikatima za autentifikaciju i modificiranje zahtjeva proslijeđenih u tokenima koje je generirao kompromitovani poslužitelj.

Budući da ADFS olakšava autentifikaciju korisnika, DLL modifikacija MagicWeba će autentifikovati bilo koji korisnički nalog na tom serveru, dajući akteru pretnje mnogo novih mogućnosti za lažno predstavljanje korisnika, pristup podacima i bočno pomeranje.

Naravno, MagicWeb zahtijeva od zlonamjernog korisnika da prvo dobije administratorski pristup ciljnom ADFS serveru i zamijeni navedeni DLL svojom verzijom, tako da se uglavnom koristi kao tehnika post-kompromitiranja.

Postoje mnogi indikatori prijetnje koji mogu pomoći u traženju ove, a najvažnije je traženje nepotpisanih DLL-ova. Opet, pregled endpointa ili servera pomoću XDR tehnologije ovdje se pokazao važnim.