15:23 / 21 Августа, 2018

Компания «угнала» несколько подконтрольных группировке доменов.

Как сообщает компания Microsoft, прошлой ночью ей удалось успешно сорвать кибероперацию группы APT28 (она же Fancy Bear и Strontium), связываемой с российскими спецслужбами.

По словам главы Microsoft Брэда Смита, подразделение компании по борьбе с киберпреступностью выполнило предписание суда, обязывающее захватить контроль над шестью доменами, используемыми хакерами. Список доменов:

my-iri.org

hudsonorg-my-sharepoint.com

senate.group

adfs-senate.services

adfs-senate.email

office365-onedrive.com

Первый домен хакеры, очевидно, выдавали за сайт, принадлежащий Международному республиканскому институту, а второй – за сайт американской исследовательской организации Hudson Institute. Остальные четыре домена APT28 пыталась выдать за часть IT-инфраструктуры Сената США.

Судя по всему, вышеупомянутые домены являлись частью операции по рассылке писем для целенаправленного фишинга. Специалистам Microsoft удалось перехватить контроль над ними до того, как преступники успели ими воспользоваться.

Это уже двенадцатый случай использования судебного ордера для «угона» доменов, предположительно подконтрольных APT28. По словам Смита, за последние два года компании удалось перехватить 84 домена из инфраструктуры группировки.

Как сообщает агентство «Интерфакс», Россия отрицает какую-либо причастность к атакам на американские организации. «О ком именно идет речь, что является доказательствами и на основании чего делаются выводы такой категории, мы не понимаем, такие данные отсутствуют» –сообщил агентству пресс-секретарь президента РФ Дмитрий Песков.

Международный республиканский институт – некоммерческая организация, провозглашающая своей целью оказание помощи отдельным странам в строительстве демократии. Работает в тесном сотрудничестве с Государственным департаментом США и некоторыми фондами, занимающимися финансированием про-американских политических сил в мире.

Источник:
https://www.securitylab.ru/news/495206.php

11:50 / 20 Августа, 2018

Авторизоваться от имени легитимного пользователя можно, проэксплуатировав уязвимость в службе ADFS.

Эксперты по кибербезопасности из компании Оkta REX обнаружили способ обхода двухфакторной аутентификации в ОС Windows с помощью уязвимости в службе ADFS (Active Directory Federated Services). Проблема позволяет злоумышленнику повторно использовать один и тот же токен для авторизации от имени легитимного пользователя.

По словам специалистов, система аутентификации ADFS не проверяет соответствие данных при получении запроса на доступ. Таким образом, хакер может использовать перехваченный ранее ключ авторизации.

Для успешного обхода аутентификации злоумышленнику необходимо параллельно отправить два запроса на авторизацию от лица двух разных пользователей. Далее хакеру нужно обнаружить MFA-контекст одного из пользователей, подтверждающий ввод дополнительного ключа.

Проблема заключается в том, что актуальность данного файла определяется файлом cookie, однако операционная система не соотносит контекст с именем пользователя, позволяя злоумышленнику отправить данные одного пользователя с cookie-файлом другого, после чего авторизоваться.

Данная атака работает и на других устройствах, использующих решения на базе ADFS, например, Authlogics, Duo Security, Gemalto, Okta, RSA и SecureAuth. В настоящее время Microsoft выпустила исправления, устраняющие проблему.

Источник:
https://www.securitylab.ru/news/495162.php