Η ευπάθεια των Windows θα μπορούσε να σπάσει τα διαπιστευτήρια του διακομιστή DC να ανοίξει

Οι ερευνητές ανακάλυψαν μια ευπάθεια
στις κλήσεις απομακρυσμένης διαδικασίας (RPC) για την υπηρεσία Windows Server, η οποία θα μπορούσε
επιτρέπουν σε έναν εισβολέα να αποκτήσει τον έλεγχο του ελεγκτή τομέα (DC) σε ένα συγκεκριμένο
διαμόρφωση δικτύου και εκτέλεση απομακρυσμένου κώδικα.

Οι κακόβουλοι ηθοποιοί θα μπορούσαν επίσης να εκμεταλλευτούν το
ευπάθεια για την τροποποίηση της αντιστοίχισης πιστοποιητικού ενός διακομιστή για εκτέλεση διακομιστή
πλαστογράφηση.

Τρωτό CVE-2022-30216,
που υπάρχει σε μη επιδιορθωμένα μηχανήματα Windows 11 και Windows Server 2022, ήταν
που αναφέρθηκε την Τρίτη Patch του Ιουλίου, αλλά α αναφέρουν
από τον ερευνητή του Akamai, Ben Barnes, ο οποίος ανακάλυψε την ευπάθεια, προσφέρει
τεχνικές λεπτομέρειες για το σφάλμα.

Η πλήρης ροή επίθεσης παρέχει πλήρη έλεγχο
μέσω του DC, των υπηρεσιών και των δεδομένων του.

Proof of Concept Exploit for Remote
Εκτέλεση κώδικα

Η ευπάθεια εντοπίστηκε στο SMB μέσω του QUIC,
ένα πρωτόκολλο δικτύου επιπέδου μεταφοράς, το οποίο επιτρέπει την επικοινωνία με το
υπηρέτης. Επιτρέπει συνδέσεις με πόρους δικτύου όπως αρχεία, κοινόχρηστα στοιχεία και
εκτυπωτές. Τα διαπιστευτήρια εκτίθενται επίσης με βάση την πεποίθηση ότι ο παραλήπτης
το σύστημα μπορεί να είναι αξιόπιστο.

Το σφάλμα θα μπορούσε να επιτρέψει τον έλεγχο ταυτότητας ενός κακόβουλου ηθοποιού
ως χρήστης τομέα για να αντικαταστήσετε αρχεία στον διακομιστή SMB και να τα εξυπηρετήσετε
συνδέοντας πελάτες, σύμφωνα με τον Akamai. Σε μια απόδειξη της έννοιας, ερευνητές
εκμεταλλεύτηκε το σφάλμα για να κλέψει διαπιστευτήρια μέσω εξαναγκασμού ελέγχου ταυτότητας.

Συγκεκριμένα, έστησαν ένα NTLM
επίθεση ρελέ. Τώρα που έχει καταργηθεί, το NTLM χρησιμοποιεί ένα αδύναμο πρωτόκολλο ελέγχου ταυτότητας που
μπορεί εύκολα να αποκαλύψει διαπιστευτήρια και κλειδιά περιόδου λειτουργίας. Σε μια σκυταλοδρομική επίθεση, κακοί ηθοποιοί
μπορούν να καταγράψουν έναν έλεγχο ταυτότητας και να τον αναμεταδώσουν σε άλλο διακομιστή — κάτι που μπορούν
στη συνέχεια χρησιμοποιήστε το για έλεγχο ταυτότητας στον απομακρυσμένο διακομιστή με τον χρήστη που έχει παραβιαστεί
προνόμια, παρέχοντας τη δυνατότητα πλευρικής κίνησης και κλιμάκωσης των προνομίων
σε έναν τομέα Active Directory.

«Η κατεύθυνση που επιλέξαμε ήταν να ακολουθήσουμε
πλεονέκτημα του εξαναγκασμού ελέγχου ταυτότητας», ερευνητές ασφαλείας της Akamai
Λέει ο Οφίρ Χαρπάζ. «Η συγκεκριμένη επίθεση ρελέ NTLM που επιλέξαμε περιλαμβάνει
μεταβίβαση των διαπιστευτηρίων στην υπηρεσία Active Directory CS, η οποία είναι
υπεύθυνος για τη διαχείριση πιστοποιητικών στο δίκτυο."

Μόλις κληθεί η ευάλωτη συνάρτηση, το
Το θύμα στέλνει αμέσως τα διαπιστευτήρια δικτύου σε έναν ελεγχόμενο από τον εισβολέα
μηχανή. Από εκεί, οι εισβολείς μπορούν να αποκτήσουν πλήρη απομακρυσμένη εκτέλεση κώδικα (RCE) στο
μηχάνημα θυμάτων, δημιουργώντας ένα σημείο εκτόξευσης για διάφορες άλλες μορφές επίθεσης
συμπεριλαμβανομένου ransomware,
διήθηση δεδομένων και άλλα.

«Επιλέξαμε να επιτεθούμε στην Active Directory
ελεγκτής τομέα, έτσι ώστε το RCE να έχει μεγαλύτερη επίδραση», προσθέτει ο Harpaz.

Ο Ben Barnea του Akamai επισημαίνει με αυτό
περίπτωση, και δεδομένου ότι η ευάλωτη υπηρεσία είναι μια βασική υπηρεσία σε κάθε Windows
μηχανή, η ιδανική σύσταση είναι να επιδιορθώσετε το ευάλωτο σύστημα.

«Η απενεργοποίηση της υπηρεσίας δεν είναι εφικτή
λύση», λέει.

Η πλαστογράφηση διακομιστή οδηγεί σε διαπιστευτήρια
Κλοπή

Ο Bud Broomhead, Διευθύνων Σύμβουλος της Viakoo, λέει με όρους
με αρνητικό αντίκτυπο στους οργανισμούς, η πλαστογράφηση διακομιστή είναι επίσης δυνατή με αυτό
έντομο.

«Η πλαστογράφηση διακομιστή προσθέτει επιπλέον απειλές
στον οργανισμό, συμπεριλαμβανομένων των επιθέσεων άνθρωπος στη μέση, της διείσδυσης δεδομένων,
παραποίηση δεδομένων, απομακρυσμένη εκτέλεση κώδικα και άλλα exploits», προσθέτει.

Ένα κοινό παράδειγμα αυτού μπορεί να δει κανείς με
Συσκευές Internet of Things (IoT) που συνδέονται με διακομιστές εφαρμογών Windows. π.χ. IP
όλες οι κάμερες είναι συνδεδεμένες σε διακομιστή Windows που φιλοξενεί τη διαχείριση βίντεο
. To

«Συχνά οι συσκευές IoT ρυθμίζονται χρησιμοποιώντας το
ίδιοι κωδικοί πρόσβασης? αποκτήστε πρόσβαση σε ένα, αποκτήσατε πρόσβαση σε όλα», είπε
λέει. «Η πλαστογράφηση αυτού του διακομιστή μπορεί να ενεργοποιήσει απειλές για την ακεραιότητα των δεδομένων,
συμπεριλαμβανομένης της φύτευσης των deepfakes».

Ο Broomhead προσθέτει ότι σε βασικό επίπεδο, αυτά
Οι διαδρομές εκμετάλλευσης είναι παραδείγματα παραβίασης της εμπιστοσύνης του εσωτερικού συστήματος — ειδικά
σε περίπτωση εξαναγκασμού επαλήθευσης ταυτότητας.

Το κατανεμημένο εργατικό δυναμικό διευρύνει την επίθεση
Επιφάνεια

Mike Parkin, ανώτερος τεχνικός μηχανικός στο
Η Vulcan Cyber, λέει, ενώ δεν φαίνεται ότι αυτό το ζήτημα έχει ακόμη παρουσιαστεί
μοχλευμένο στην άγρια ​​φύση, ένας ηθοποιός απειλών που πλαστογραφεί επιτυχώς ένα νόμιμο και
αξιόπιστος διακομιστής ή η επιβολή ελέγχου ταυτότητας σε έναν μη αξιόπιστο, θα μπορούσε να προκαλέσει α
πλήθος προβλημάτων.

«Υπάρχουν πολλές λειτουργίες που είναι
βασίζεται στη σχέση «εμπιστοσύνης» μεταξύ διακομιστή και πελάτη και πλαστογράφηση
θα άφηνε έναν επιτιθέμενο να αξιοποιήσει οποιαδήποτε από αυτές τις σχέσεις», σημειώνει.

Ο Πάρκιν προσθέτει ένα κατανεμημένο εργατικό δυναμικό διευρύνεται
την επιφάνεια της απειλής σημαντικά, γεγονός που την καθιστά πιο δύσκολη τη σωστή
ελέγξτε την πρόσβαση σε πρωτόκολλα που δεν πρέπει να φαίνονται εκτός του οργανισμού
τοπικό περιβάλλον.

Ο Broomhead επισημαίνει και όχι την επίθεση
επιφάνεια που περιέχεται τακτοποιημένα στα κέντρα δεδομένων, το κατανεμημένο εργατικό δυναμικό έχει
επέκτεινε επίσης την επιφάνεια επίθεσης φυσικά και λογικά.

«Κερδίζοντας βάση στο δίκτυο
είναι πιο εύκολο με αυτή την εκτεταμένη επιφάνεια επίθεσης, πιο δύσκολο να εξαλειφθεί και παρέχει
πιθανή διάχυση στα οικιακά ή προσωπικά δίκτυα των εργαζομένων»,
λέει.

Από την πλευρά του, διατηρώντας μηδενική εμπιστοσύνη
ή λιγότερο προνομιούχες φιλοσοφίες μειώνει την εξάρτηση από τα διαπιστευτήρια και το
αντίκτυπο της κλοπής διαπιστευτηρίων.

Ο Πάρκιν προσθέτει ότι η μείωση του κινδύνου από
επιθέσεις σαν αυτή απαιτούν την ελαχιστοποίηση της επιφάνειας απειλής, σωστά εσωτερικά
ελέγχους πρόσβασης και ενημέρωση σχετικά με τις ενημερώσεις κώδικα σε όλο το περιβάλλον.

«Κανένα από αυτά δεν είναι τέλεια άμυνα, αλλά
χρησιμεύουν στη μείωση του κινδύνου», λέει.