Lo stesso exploit che Microsoft aveva patchato la scorsa estate
L’FBI e la CISA hanno rilasciato una nota in cui evidenziavano hacker sponsorizzati dalla Russia sono stati in grado di violare un’organizzazione non governativa utilizzando alcuni exploit nelle impostazioni predefinite di autenticazione a più fattori (MFA), tra cui una nota come “PrintNightmare”.
L’attacco “è un ottimo esempio di come la cultura di protezione degli account sia così importante e perché le patch di sicurezza devono essere introdotte non appena possibile” ha affermato Mike Parkin, ingegnere tecnico senior presso l’azienda di risoluzione dei rischi informatici Vulcan Cyber, in un’e-mail a VentureBeat, che ha riportato la notizia. “PrintNightmare” è una vulnerabilità legata all’esecuzione di codice in modalità remota che ha interessato il servizio spooler di stampa Windows di Microsoft. È stato divulgato pubblicamente la scorsa estate e ha richiesto una serie di patch da parte del colosso americano.
Secondo l’avviso congiunto FBI e CISA (l’agenzia federale per la sicurezza informatica e le infrastrutture statunitense), gli attori delle minacce sono stati in grado di accedere al cloud e agli account e-mail di una ong, spostarsi lateralmente nella rete dell’organizzazione ed esfiltrare documenti. L’avviso afferma che l’attacco informatico è iniziato nel maggio del 2021. L’ubicazione dell’organizzazione e l’intervallo di tempo completo in cui si è verificato l’attacco non sono stati specificati.
L’avvertimento arriva mentre la Russia continua il suo assalto all’Ucraina, anche con frequenti attacchi informatici. La CISA ha precedentemente avvertito del potenziale impatto degli attacchi informatici provenienti da Mosca su obiettivi negli Stati Uniti in connessione con la guerra. Sulla pagina “Shields Up”, l’agenzia continua a sostenere che “non ci sono minacce informatiche specifiche o credibili agli Stati Uniti in questo momento” in relazione alle azioni della Russia in Ucraina.
