La vulnerabilidad de Windows podría abrir las credenciales del servidor DC

Los investigadores han descubierto una vulnerabilidad
en las llamadas a procedimientos remotos (RPC) para el servicio de Windows Server, lo que podría
permitir que un atacante obtenga el control del controlador de dominio (DC) en un lugar específico
configuración de red y ejecutar código remoto.

Los actores maliciosos también podrían explotar la
vulnerabilidad para modificar la asignación de certificados de un servidor para realizar
suplantación de identidad

Vulnerabilidad CVE-2022-30216,
que existe en máquinas con Windows 11 y Windows Server 2022 sin parches, fue
abordado en el Patch Tuesday de julio, pero un reporte
del investigador de Akamai Ben Barnes, quien descubrió la vulnerabilidad, ofrece
detalles técnicos sobre el error.

El flujo de ataque completo proporciona un control total
sobre el DC, sus servicios y datos.

Explotación de prueba de concepto para control remoto
Ejecución de código

La vulnerabilidad fue encontrada en SMB sobre QUIC,
un protocolo de red de capa de transporte, que permite la comunicación con el
servidor. Permite conexiones a recursos de red como archivos, recursos compartidos y
impresoras Las credenciales también se exponen en base a la creencia de que el receptor
Se puede confiar en el sistema.

El error podría permitir que un actor malicioso se autentique
como usuario de dominio para reemplazar archivos en el servidor SMB y entregarlos a
conectar clientes, según Akamai. En una prueba de concepto, los investigadores
explotó el error para robar credenciales a través de la coerción de autenticación.

En concreto, establecieron un NTLM
ataque de relevo. Ahora en desuso, NTLM usa un protocolo de autenticación débil que
puede revelar fácilmente las credenciales y las claves de sesión. En un ataque de relevos, malos actores
pueden capturar una autenticación y retransmitirla a otro servidor, que pueden
luego use para autenticarse en el servidor remoto con el usuario comprometido
privilegios, brindando la capacidad de moverse lateralmente y escalar privilegios
dentro de un dominio de Active Directory.

“La dirección que elegimos fue tomar
ventaja de la coerción de autenticación”, investigadores de seguridad de Akamai
Ophir Harpaz dice. “El ataque de retransmisión NTLM específico que elegimos implica
retransmitir las credenciales al servicio Active Directory CS, que es
responsable de la gestión de certificados en la red.”

Una vez que se llama a la función vulnerable, el
la víctima devuelve inmediatamente las credenciales de la red a un atacante controlado
máquina. A partir de ahí, los atacantes pueden obtener la ejecución remota completa de código (RCE) en el
máquina víctima, estableciendo una plataforma de lanzamiento para varias otras formas de ataque
de alta calidad que incluyen ransomware,
exfiltración de datos, y otros.

“Elegimos atacar el Directorio Activo
controlador de dominio, de modo que el RCE tendrá el mayor impacto”, agrega Harpaz.

Ben Barnea de Akamai señala con esto
caso, y dado que el servicio vulnerable es un servicio central en cada Windows
máquina, la recomendación ideal es parchear el sistema vulnerable.

“Deshabilitar el servicio no es factible
solución alternativa”, dice.

La suplantación de identidad del servidor conduce a la credencial
Robo

Bud Broomhead, CEO de Viakoo, dice en términos
de impacto negativo para las organizaciones, la suplantación de servidor también es posible con este
insecto.

“La suplantación de identidad del servidor agrega amenazas adicionales
a la organización, incluidos los ataques man-in-the-middle, la exfiltración de datos,
manipulación de datos, ejecución remota de código y otros exploits”, agrega.

Un ejemplo común de esto se puede ver con
Dispositivos de Internet de las cosas (IoT) vinculados a servidores de aplicaciones de Windows; por ejemplo, propiedad intelectual
Todas las cámaras están conectadas a un servidor de Windows que aloja la gestión de video.
.

“A menudo, los dispositivos IoT se configuran utilizando el
mismas contraseñas; obtienes acceso a uno, has obtenido acceso a todos”, dijo.
dice. “La suplantación de ese servidor puede permitir amenazas a la integridad de los datos,
incluyendo la siembra de deepfakes”.

Broomhead agrega que, en un nivel básico, estos
rutas de explotación son ejemplos de violación de la confianza del sistema interno, especialmente
en el caso de coerción de autenticación.

La fuerza de trabajo distribuida amplía el ataque
Superficie

Mike Parkin, ingeniero técnico sénior de
Vulcan Cyber, dice que si bien no parece que este problema aún se haya
aprovechado en la naturaleza, un actor de amenazas que falsifica con éxito un legítimo y
servidor de confianza, o forzar la autenticación a uno que no sea de confianza, podría causar una
multitud de problemas.

“Hay muchas funciones que son
basado en la relación de 'confianza' entre el servidor y el cliente y la suplantación de identidad que
permitiría que un atacante aproveche cualquiera de esas relaciones”, señala.

Parkin agrega una fuerza de trabajo distribuida se amplía
la superficie de la amenaza considerablemente, lo que hace que sea más difícil
controlar el acceso a protocolos que no deben verse fuera de la organización
ambiente local.

Broomhead señala en lugar del ataque
la superficie está contenida ordenadamente en los centros de datos, las fuerzas de trabajo distribuidas tienen
también amplió la superficie de ataque física y lógicamente.

“Hacerse un hueco en la red
es más fácil con esta superficie de ataque ampliada, más difícil de eliminar y proporciona
potencial de contagio en el hogar o en las redes personales de los empleados”,
, dice.

Desde su perspectiva, mantener la confianza cero
o filosofías menos privilegiadas reduce la dependencia de las credenciales y la
impacto del robo de credenciales.

Parkin agrega que reducir el riesgo de
ataques como este requiere minimizar la superficie de la amenaza, interna adecuada
controles de acceso y mantenerse al día con los parches en todo el entorno.

“Ninguno de ellos es una defensa perfecta, pero
sí sirven para reducir el riesgo”, dice.