Forscher haben eine Sicherheitslücke entdeckt
in den Remoteprozeduraufrufen (RPC) für den Windows Server-Dienst, was möglich ist
ermöglichen es einem Angreifer, die Kontrolle über den Domänencontroller (DC) in einem bestimmten Fall zu erlangen
Netzwerkkonfiguration und Remote-Code ausführen.
Auch böswillige Akteure könnten das ausnutzen
Sicherheitslücke, die Zertifikatszuordnung eines Servers zu ändern, um Server auszuführen
Spoofing.
Verwundbarkeit CVE-2022-30216,
was auf ungepatchten Windows 11- und Windows Server 2022-Maschinen vorhanden ist, war
im Juli-Patchdienstag behoben, aber a berichten
von Akamai-Forscher Ben Barnes, der die Schwachstelle entdeckt hat, bietet
technische Details zum Fehler.
Der volle Angriffsfluss bietet volle Kontrolle
über den DC, seine Dienste und Daten.
Proof-of-Concept-Exploit für Remote
Codeausführung
Die Schwachstelle wurde in SMB über QUIC gefunden,
ein Transportschicht-Netzwerkprotokoll, das die Kommunikation mit dem ermöglicht
Server. Es ermöglicht Verbindungen zu Netzwerkressourcen wie Dateien, Freigaben usw
Drucker. Anmeldeinformationen werden auch auf der Grundlage der Annahme offengelegt, dass der Empfänger
Dem System kann man vertrauen.
Der Fehler könnte die Authentifizierung eines böswilligen Akteurs ermöglichen
als Domänenbenutzer, um Dateien auf dem SMB-Server zu ersetzen und bereitzustellen
laut Akamai Kunden verbinden. In einem Proof of Concept, Forscher
nutzte den Fehler aus, um Zugangsdaten durch Authentifizierungszwang zu stehlen.
Konkret richteten sie ein NTLM
Staffelangriff. NTLM ist mittlerweile veraltet und verwendet ein schwaches Authentifizierungsprotokoll
kann Anmeldeinformationen und Sitzungsschlüssel problemlos offenlegen. Bei einem Staffelangriff böse Akteure
können eine Authentifizierung erfassen und an einen anderen Server weiterleiten – was ihnen auch möglich ist
Verwenden Sie es dann zur Authentifizierung beim Remote-Server mit dem kompromittierten Benutzer
Privilegien, die die Möglichkeit bieten, sich seitlich zu bewegen und Privilegien zu erweitern
innerhalb einer Active Directory-Domäne.
„Die Richtung, die wir gewählt haben, war, einzuschlagen
Vorteil des Authentifizierungszwangs“, so die Sicherheitsforscher von Akamai
Ophir Harpaz sagt. „Der spezifische NTLM-Relay-Angriff, den wir ausgewählt haben, beinhaltet Folgendes:
Weiterleiten der Anmeldeinformationen an den Active Directory CS-Dienst
verantwortlich für die Verwaltung von Zertifikaten im Netzwerk.“
Sobald die anfällige Funktion aufgerufen wird, wird die
Das Opfer sendet die Netzwerkanmeldeinformationen sofort an einen vom Angreifer kontrollierten Angreifer zurück
Maschine. Von dort aus können Angreifer die vollständige Remote Code Execution (RCE) nutzen
Opfermaschine, die eine Startrampe für mehrere andere Angriffsformen darstellt
einschließlich Ransomware,
Datenexfiltration und andere.
„Wir haben uns entschieden, das Active Directory anzugreifen
Domänencontroller, so dass der RCE die größte Wirkung erzielen wird“, fügt Harpaz hinzu.
Ben Barnea von Akamai weist darauf hin
Fall, und da der anfällige Dienst ein Kerndienst auf jedem Windows ist
Die ideale Empfehlung besteht darin, das anfällige System zu patchen.
„Eine Deaktivierung des Dienstes ist nicht machbar
Problemumgehung“, sagt er.
Server-Spoofing führt zu Anmeldeinformationen
Diebstahl
Bud Broomhead, CEO von Viakoo, bringt es auf den Punkt
Da dies negative Auswirkungen auf Organisationen hat, ist auch Server-Spoofing möglich
Fehler.
„Server-Spoofing bringt zusätzliche Bedrohungen mit sich
zur Organisation, einschließlich Man-in-the-Middle-Angriffen, Datenexfiltration,
Datenmanipulation, Codeausführung aus der Ferne und andere Exploits“, fügt er hinzu.
Ein häufiges Beispiel hierfür ist
Geräte für das Internet der Dinge (IoT), die an Windows-Anwendungsserver gebunden sind; zB IP
Kameras, die alle mit einem Windows-Server verbunden sind, auf dem die Videoverwaltung gehostet wird
Anwendung.
„Oft werden IoT-Geräte mit dem eingerichtet
gleiche Passwörter; Wenn Sie Zugang zu einem haben, haben Sie Zugang zu allen“, sagte er
sagt. „Spoofing dieses Servers kann Bedrohungen der Datenintegrität ermöglichen,
einschließlich des Einpflanzens von Deepfakes.“
Broomhead fügt hinzu, dass dies grundsätzlich der Fall ist
Exploitation-Pfade sind Beispiele für die Verletzung des internen Systemvertrauens – insbesondere
im Falle einer Beurkundungszwangsmaßnahme.
Verteilte Arbeitskräfte weiten den Angriff aus
Oberfläche
Mike Parkin, leitender technischer Ingenieur bei
Vulcan Cyber sagt, obwohl es nicht den Anschein hat, dass dieses Problem bereits aufgetreten ist
In freier Wildbahn ausgenutzt, fälscht ein Bedrohungsakteur erfolgreich ein legitimes und
Wenn Sie einen vertrauenswürdigen Server verwenden oder die Authentifizierung bei einem nicht vertrauenswürdigen Server erzwingen, kann dies zu einem Problem führen
Vielzahl von Problemen.
„Es gibt viele Funktionen
basierend auf der „Vertrauensbeziehung“ zwischen Server und Client und deren Vortäuschung
würde es einem Angreifer ermöglichen, jede dieser Beziehungen auszunutzen“, stellt er fest.
Parkin fügt hinzu, dass eine verteilte Belegschaft erweitert wird
Die Bedrohungsoberfläche wird erheblich vergrößert, was die korrekte Handhabung schwieriger macht
Kontrollieren Sie den Zugriff auf Protokolle, die außerhalb der Organisation nicht sichtbar sein sollten
unmittelbare Umwelt.
Broomhead weist eher auf den Angriff als auf den Angriff hin
Da die Oberfläche ordentlich in Rechenzentren untergebracht ist, müssen verteilte Arbeitskräfte vorhanden sein
Außerdem wurde die Angriffsfläche physisch und logisch erweitert.
„Im Netzwerk Fuß fassen
ist mit dieser erweiterten Angriffsfläche einfacher, schwerer zu beseitigen und bietet
Potenzial für ein Übergreifen auf die häuslichen oder persönlichen Netzwerke der Mitarbeiter“,
, sagt er.
Aus seiner Sicht bedeutet die Wahrung von Nullvertrauen
oder am wenigsten privilegierte Philosophien verringern die Abhängigkeit von Referenzen und dem
Auswirkungen des Diebstahls von Zugangsdaten.
Parkin fügt hinzu, dass sich das Risiko verringert
Angriffe wie dieser erfordern eine Minimierung der Bedrohungsoberfläche und eine ordnungsgemäße interne Bedrohung
Zugriffskontrollen und Aktualisierung der Patches in der gesamten Umgebung.
„Keiner von ihnen ist eine perfekte Verteidigung, aber
Sie dienen dazu, das Risiko zu verringern“, sagt er.
