اكتشف الباحثون ثغرة أمنية
في استدعاءات الإجراء البعيد (RPC) لخدمة Windows Server ، والتي يمكن أن
السماح للمهاجمين بالتحكم في وحدة تحكم المجال (DC) في ملف
تكوين الشبكة وتنفيذ التعليمات البرمجية عن بعد.
يمكن للجهات الخبيثة أيضًا استغلال
ضعف لتعديل تعيين شهادة الخادم لأداء الخادم
انتحال.
الضعف CVE-2022-30216,
الموجود في أجهزة Windows 11 و Windows Server 2022 غير المصححة ، كان
تم تناولها في التصحيح لشهر يوليو ، لكن أ تقرير
من الباحث أكاماي بن بارنز، الذي اكتشف الثغرة الأمنية، يقدم
التفاصيل الفنية على الخطأ.
يوفر التدفق الكامل للهجوم تحكمًا كاملاً
على العاصمة وخدماتها وبياناتها.
إثبات مفهوم استغلال جهاز التحكم عن بعد
تنفيذ التعليمات البرمجية
تم العثور على الثغرة الأمنية في SMB عبر QUIC ،
بروتوكول شبكة طبقة النقل ، والذي يتيح الاتصال بـ
الخادم. يسمح بالاتصالات بموارد الشبكة مثل الملفات والمشاركات و
طابعات. يتم الكشف عن أوراق الاعتماد أيضًا بناءً على الاعتقاد بأن المتلقي
يمكن الوثوق بالنظام.
يمكن أن يسمح الخطأ بمصادقة ممثل ضار
كمستخدم مجال لاستبدال الملفات الموجودة على خادم SMB وخدمتها
ربط العملاء ، وفقًا لـ Akamai. في إثبات المفهوم ، الباحثون
استغل الخطأ لسرقة بيانات الاعتماد عبر إكراه المصادقة.
على وجه التحديد ، قاموا بإعداد ملف NTLM
هجوم التتابع. الآن ، تم إهماله ، يستخدم NTLM بروتوكول مصادقة ضعيفًا
يمكن أن تكشف بسهولة عن بيانات الاعتماد ومفاتيح الجلسة. في هجوم التتابع ، الجهات الفاعلة السيئة
يمكنهم الحصول على مصادقة وترحيلها إلى خادم آخر - وهو ما يمكنهم ذلك
ثم استخدم للمصادقة على الخادم البعيد مع المستخدم المخترق
الامتيازات ، مما يوفر القدرة على التحرك أفقيًا وتصعيد الامتيازات
ضمن مجال Active Directory.
"الاتجاه الذي اخترناه هو أن نسير
الاستفادة من قسر المصادقة ، "باحثو الأمن في Akamai
أوفير هارباز يقول. "هجوم الترحيل NTLM المحدد الذي اخترناه يتضمن
ترحيل بيانات الاعتماد إلى خدمة Active Directory CS ، وهي
مسؤول عن إدارة الشهادات في الشبكة ".
بمجرد استدعاء الوظيفة الضعيفة ، فإن
الضحية يرسل على الفور بيانات اعتماد الشبكة إلى المهاجم الذي يتحكم فيه
آلة. من هناك ، يمكن للمهاجمين الحصول على تنفيذ كامل للتعليمات البرمجية عن بُعد (RCE) على ملف
آلة الضحية ، إنشاء منصة إطلاق للعديد من أشكال الهجوم الأخرى
بما فيها الفدية,
استخراج البيانات ، وغيرها.
"لقد اخترنا مهاجمة Active Directory
وحدة تحكم المجال ، بحيث يكون RCE أكثر تأثيرًا "، يضيف هارباز.
يشير بن بارنيا من Akamai إلى هذا
نظرًا لأن الخدمة الضعيفة هي خدمة أساسية في كل نظام Windows
الجهاز ، فإن التوصية المثالية هي تصحيح النظام الضعيف.
"تعطيل الخدمة ليس بالأمر الممكن
حل بديل "، كما يقول.
يؤدي انتحال الخادم إلى الحصول على بيانات الاعتماد
سرقة
يقول بود برومهيد ، الرئيس التنفيذي لشركة Viakoo ، من حيث المصطلحات
من التأثير السلبي على المؤسسات ، من الممكن أيضًا انتحال الخادم مع هذا
علة.
يضيف انتحال الخادم تهديدات إضافية
إلى المنظمة ، بما في ذلك هجمات الرجل في الوسط ، واستخراج البيانات ،
التلاعب بالبيانات وتنفيذ التعليمات البرمجية عن بُعد ومآثر أخرى ".
يمكن رؤية مثال شائع على ذلك باستخدام
أجهزة إنترنت الأشياء (IoT) المرتبطة بخوادم تطبيقات Windows ؛ على سبيل المثال ، IP
جميع الكاميرات متصلة بخادم Windows يستضيف إدارة الفيديو
التطبيق.
"غالبًا ما يتم إعداد أجهزة إنترنت الأشياء باستخدام
نفس كلمات المرور للوصول إلى واحدة ، لقد تمكنت من الوصول إليهم جميعًا "
يقول. "يمكن أن يؤدي انتحال هذا الخادم إلى تمكين تهديدات سلامة البيانات ،
بما في ذلك زراعة التزييف العميق ".
يضيف Broomhead أنه على المستوى الأساسي ، هذه
تعد مسارات الاستغلال أمثلة على خرق ثقة النظام الداخلي - على وجه الخصوص
في حالة الإكراه على المصادقة.
توزيع القوى العاملة يوسع الهجوم
المساحة
مايك باركين ، مهندس تقني أول في
يقول Vulcan Cyber ، بينما لا يبدو أن هذه المشكلة لم تظهر بعد
تم الاستدانة في البرية ، حيث نجح أحد الفاعلين في انتحال ملف شرعي و
قد يتسبب الخادم الموثوق به أو فرض المصادقة على خادم غير موثوق في حدوث ملف
مجموعة من المشاكل.
"هناك الكثير من الوظائف
بناءً على علاقة "الثقة" بين الخادم والعميل وتزييف ذلك
سيسمح للمهاجم بالاستفادة من أي من تلك العلاقات ".
يضيف باركين قوة عاملة موزعة تتوسع
سطح التهديد إلى حد كبير ، مما يجعل الأمر أكثر صعوبة في التعامل معه بشكل صحيح
التحكم في الوصول إلى البروتوكولات التي لا ينبغي رؤيتها خارج المنظمة
البيئة المحلية.
يشير Broomhead بدلاً من الهجوم
يتم احتواؤها بدقة في مراكز البيانات ، والقوى العاملة الموزعة لديها
كما وسع نطاق الهجوم ماديًا ومنطقيًا.
"الحصول على موطئ قدم داخل الشبكة
أسهل مع سطح الهجوم الموسع هذا ، ويصعب القضاء عليه ويوفر
إمكانية الانتشار في المنزل أو الشبكات الشخصية للموظفين ، "
كما يقول.
من وجهة نظره ، الحفاظ على الثقة الصفرية
أو الفلسفات الأقل امتيازًا تقلل الاعتماد على أوراق الاعتماد و
تأثير سرقة أوراق الاعتماد.
يضيف باركين أن تقليل المخاطر من
مثل هذه الهجمات تتطلب التقليل من سطح التهديد ، الداخلي الصحيح
ضوابط الوصول ، ومواكبة التصحيحات في جميع أنحاء البيئة.
"لا أحد منهم يعتبر دفاعًا مثاليًا ، لكن
إنها تعمل على تقليل المخاطر ، "كما يقول.
