Forskere har opdaget en sårbarhed
i fjernprocedurekald (RPC) til Windows Server-tjenesten, som kunne
tillade en angriber at få kontrol over domænecontrolleren (DC) i en bestemt
netværkskonfiguration og eksekver fjernkode.
Ondsindede aktører kunne også udnytte
sårbarhed til at ændre en servers certifikattilknytning til at udføre server
spoofing.
Sårbarhed CVE-2022-30216,
som findes i ikke-patchede Windows 11- og Windows Server 2022-maskiner, var
behandlet i julis Patch Tuesday, men en indberette
fra Akamai-forsker Ben Barnes, der opdagede sårbarheden, tilbyder
tekniske detaljer om fejlen.
Det fulde angrebsflow giver fuld kontrol
over DC, dets tjenester og data.
Proof of Concept udnyttelse til fjernbetjening
Kodeudførelse
Sårbarheden blev fundet i SMB over QUIC,
en transport-lag netværksprotokol, som muliggør kommunikation med
server. Det tillader forbindelser til netværksressourcer såsom filer, delinger og
printere. Legitimationsoplysninger er også afsløret baseret på troen på, at den modtagende
systemet kan stole på.
Fejlen kan tillade, at en ondsindet skuespiller bliver godkendt
som domænebruger til at erstatte filer på SMB-serveren og betjene dem til
forbinder kunder, ifølge Akamai. I et proof of concept, forskere
udnyttede fejlen til at stjæle legitimationsoplysninger via autentificeringstvang.
Konkret opretter de en NTLM
relæangreb. Nu forældet, NTLM bruger en svag autentificeringsprotokol, der
kan nemt afsløre legitimationsoplysninger og sessionsnøgler. I et stafetangreb, dårlige skuespillere
kan fange en godkendelse og videresende den til en anden server - hvilket de kan
brug derefter til at godkende til fjernserveren med den kompromitterede brugers
privilegier, hvilket giver mulighed for at bevæge sig sideværts og eskalere privilegier
inden for et Active Directory-domæne.
»Den retning, vi valgte, var at tage
fordel ved autentificeringstvang,” Akamais sikkerhedsforskere
Ophir Harpaz siger. "Det specifikke NTLM-relæangreb, vi valgte, involverer
videresende legitimationsoplysningerne til Active Directory CS-tjenesten, som er
ansvarlig for at administrere certifikater i netværket.”
Når først den sårbare funktion er kaldt, vil den
offer sender straks netværkslegitimationsoplysninger tilbage til en angriber-kontrolleret
maskine. Derfra kan angribere få fuld fjernudførelse af kode (RCE) på
offermaskine, der etablerer en affyringsrampe for flere andre former for angreb
herunder ransomware,
dataeksfiltrering og andre.
"Vi valgte at angribe Active Directory
domænecontroller, sådan at RCE'en vil være mest virkningsfuld," tilføjer Harpaz.
Akamais Ben Barnea påpeger med dette
tilfælde, og da den sårbare tjeneste er en kernetjeneste på alle Windows
maskine, er den ideelle anbefaling at lappe det sårbare system.
"Det er ikke muligt at deaktivere tjenesten
løsning,” siger han.
Serverspoofing fører til legitimationsoplysninger
Tyveri
Bud Broomhead, CEO hos Viakoo, siger i vendinger
af negativ indvirkning på organisationer, er server spoofing også muligt med dette
insekt.
"Server-spoofing tilføjer yderligere trusler
til organisationen, herunder man-in-the-middle-angreb, dataeksfiltrering,
datamanipulation, fjernudførelse af kode og andre udnyttelser,” tilføjer han.
Et almindeligt eksempel på dette kan ses med
Internet of Things (IoT)-enheder knyttet til Windows-applikationsservere; fx IP
kameraer, der alle er forbundet til en Windows-server, der hoster videostyringen
ansøgning.
"Ofte er IoT-enheder sat op ved hjælp af
samme adgangskoder; få adgang til én, du har fået adgang til dem alle,” han
siger. "Spoofing af den server kan aktivere dataintegritetstrusler,
inklusive plantning af deepfakes."
Broomhead tilføjer, at disse på et grundlæggende niveau
udnyttelsesstier er eksempler på brud på den interne systemtillid - især
i tilfælde af autentifikationstvang.
Distribueret arbejdsstyrke udvider angrebet
overflade
Mike Parkin, senior teknisk ingeniør hos
Vulcan Cyber, siger selv om det ikke ser ud til, at dette problem har været endnu
udnyttet i naturen, en trussel aktør med succes spoofing en legitim og
betroet server, eller at tvinge godkendelse til en ikke-pålidelig server, kan forårsage en
væld af problemer.
»Det er der mange funktioner, der er
baseret på 'tillidsforholdet' mellem server og klient og spoofing
ville lade en angriber udnytte et hvilket som helst af disse forhold,” bemærker han.
Parkin tilføjer en fordelt arbejdsstyrke udvides
trusselsoverfladen betydeligt, hvilket gør det mere udfordrende at ordentligt
kontrollere adgang til protokoller, der ikke bør ses uden for organisationens
lokalt miljø.
Broomhead påpeger snarere end angrebet
overfladen er indeholdt pænt i datacentre, har distribuerede arbejdsstyrker
også udvidet angrebsfladen fysisk og logisk.
”At få fodfæste i netværket
er nemmere med denne udvidede angrebsflade, sværere at eliminere og giver
potentiale for afsmitning til medarbejdernes hjemme eller personlige netværk."
siger han.
Fra hans perspektiv at bevare nul tillid
eller mindst privilegerede filosofier reducerer afhængigheden af legitimationsoplysninger og
virkningen af, at legitimationsoplysninger bliver stjålet.
Parkin tilføjer, at reducere risikoen fra
angreb som dette kræver minimering af trusselsoverfladen, ordentlig intern
adgangskontrol og holde sig ajour med patches i hele miljøet.
“Ingen af dem er et perfekt forsvar, men
de tjener til at reducere risikoen,” siger han.
