Microsoft advierte que MagicWeb puede abusar de las credenciales de administrador para secuestrar el sistema de identidad empresarial AD FS. Los hackers de SolarWinds atacan de nuevo con un nuevo exploit de autenticación «MagicWeb».
Microsoft ha advertido que Nobelium, los piratas informáticos detrás del infame ataque de SolarWinds, han descubierto una técnica novedosa para violar la autenticación corporativa.
En marcado contraste con los ataques anteriores que aprovecharon los mecanismos de la cadena de suministro, el nuevo bypass, llamado «MagicWeb» por Microsoft, abusa de las credenciales de administrador para ganar ascendencia en una red. En particular, MagicWeb compromete un sistema de identidad empresarial llamado Active Directory Federation Server (AD FS).
Los hackers de SolarWinds atacan de nuevo con un nuevo exploit de autenticación «MagicWeb»
«MagicWeb es una DLL maliciosa que permite la manipulación de los reclamos pasados en tokens generados por un servidor de servicios federados de Active Directory. Manipula los certificados de autenticación de usuario utilizados para la autenticación, no los certificados de firma utilizados en ataques como Golden SAML«, explicó Microsoft.
Desde emular a USAID en campañas de spear-phishing hasta instalar una puerta trasera posterior al compromiso llamada FoggyWeb. Esta acumula detalles de AD FS, Microsoft advierte que Nobelium es «altamente activo».
En abril de 2021, Nobelium empleó FoggyWeb para filtrar de forma remota información confidencial de un servidor AD FS comprometido. A la vez, controlaba los certificados de firma y cifrado de tokens.
Al hacer una comparación, Microsoft afirma que MagicWeb «va más allá de las capacidades de recopilación de FoggyWeb al facilitar el acceso encubierto directamente». Hace uso de certificados SAML x509 que «contienen valores de uso de clave mejorada (EKU) que especifican para qué aplicaciones se debe usar el certificado».
«Este no es un ataque a la cadena de suministro. El atacante tenía acceso de administrador al sistema AD FS y reemplazó una DLL legítima con su propia DLL maliciosa, lo que provocó que AD FS cargara malware en lugar del binario legítimo», agregó Microsoft.
Como precaución, Microsoft recomienda a las empresas aislar su infraestructura de AD FS y limitar el acceso a las cuentas de administrador o migrar a Azure Active Directory.