Ruska hakerska grupa otima ADFS proces autentifikacije

Novi zlonamerni softver koji koristi ruska hakerska grupa APT29 (takođe poznat kao NOBELIUM ili Cosy Bear) podriva proces autentifikacije ADFS (Active Directory Federation Services) i omogućava zlonamernim korisnicima da se prijave kao bilo tko u Windowse. Čini se da akteri pretnji brzo inoviraju i fokusiraju se na Microsoft, koristeći lokalne komponente Active Directory, u ovom slučaju ADFS.

Nova zlonamerna alatka zove se 'MagicWeb' i predstavlja modifikaciju procesa autentifikacije ADFS-a koji zamenjuje legitimni sistemski DLL zlonamernom verzijom za manipulaciju korisničkim sertifikatima za autentifikaciju i modifikaciju zahteva prosleđenih u tokenima koje je generiše kompromitovani server.

Pošto ADFS olakšava autentifikaciju korisnika, DLL modifikacija MagicWeba će autentifikovati bilo koji korisnički nalog na tom serveru, dajući akteru pretnje mnogo novih mogućnosti za lažno predstavljanje korisnika, pristup podacima i bočno pomeranje.

Naravno, MagicWeb zahteva od zlonamernog korisnika da prvo dobije administratorski pristup ciljnom ADFS serveru i zameni navedeni DLL sopstvenom verzijom, tako da se uglavnom koristi kao tehnika post-kompromitiranja.

Postoje mnogi indikatori pretnje koji mogu pomoći u potrazi ove, a najvažnije je traženje nepotpisanih DLL-ova. Opet, pregled endpointa ili servera pomoću XDR tehnologije ovdje se pokazao važnim.