Teadlased on avastanud haavatavuse
Windows Serveri teenuse kaugprotseduurikõnedes (RPC), mis võiksid
võimaldada ründajal saada kontroll konkreetses domeenikontrolleri (DC) üle
võrgu konfigureerimine ja kaugkoodi käivitamine.
Pahatahtlikud näitlejad võivad seda ka ära kasutada
haavatavus serveri sertifikaadi vastendamise muutmiseks serveri täitmiseks
võltsimine.
Haavatavus CVE-2022-30216,
mis eksisteerib paigatamata Windows 11 ja Windows Server 2022 masinates, oli
käsitletud juulikuu plaastri teisipäeval, kuid a aru
pakub haavatavuse avastanud Akamai uurija Ben Barnes
vea tehnilised üksikasjad.
Täielik rünnakuvoog tagab täieliku kontrolli
alalisvoolu, selle teenuste ja andmete kaudu.
Kontseptsiooni tõestuskasutus kaugjuhtimispuldi jaoks
Koodi täitmine
SMB-s leiti haavatavus QUIC-i kaudu,
transpordikihi võrguprotokoll, mis võimaldab suhelda
server. See võimaldab luua ühendusi võrguressurssidega, nagu failid, jagamised ja
printerid. Mandaadid avalikustatakse ka usu põhjal, et vastuvõtja
süsteemi saab usaldada.
Viga võib lubada pahatahtlikul osalejal autentida
domeeni kasutajana SMB serveris failide asendamiseks ja nende teenindamiseks
klientide ühendamine Akamai sõnul. Kontseptsiooni tõestuses, teadlased
kasutas viga ära, et varastada autentimissunni abil mandaate.
Täpsemalt asutasid nad an NTLM-
relee rünnak. Nüüdseks aegunud NTLM kasutab nõrka autentimisprotokolli, mis
saab hõlpsasti avaldada mandaate ja seansi võtmeid. Releerünnakus halvad näitlejad
saavad jäädvustada autentimise ja edastada selle teisele serverile – mida nad saavad teha
seejärel kasutage rikutud kasutaja serveriga autentimiseks
privileege, pakkudes võimalust külgsuunas liikuda ja privileege suurendada
Active Directory domeenis.
"Suuna, mille me valisime, oli võtta
autentimissunni eelis," Akamai turvauurijad
Ophir Harpaz ütleb. "Meie valitud konkreetne NTLM-i releerünnak hõlmab
mandaatide edastamine Active Directory CS-teenusele, mis on
vastutab sertifikaatide haldamise eest võrgus.
Kui haavatav funktsioon on välja kutsutud,
ohver saadab kohe võrgumandaadid tagasi ründaja juhitavale
masin. Sealt saavad ründajad saada täieliku kaugkäivituse (RCE).
ohvrimasin, luues stardiplatvormi mitmete muude rünnakute jaoks
kaasa arvatud ransomware,
andmete väljafiltreerimine ja teised.
"Me otsustasime rünnata Active Directory't
domeenikontroller, nii et RCE oleks kõige mõjukam, ”lisab Harpaz.
Akamai Ben Barnea juhib tähelepanu sellele
ja kuna haavatav teenus on iga Windowsi põhiteenus
masin, ideaalne soovitus on haavatav süsteem paika panna.
"Teenuse keelamine ei ole teostatav
lahendus," ütleb ta.
Serveri võltsimine viib mandaadini
vargus
Bud Broomhead, Viakoo tegevjuht, ütleb termineid
organisatsioonidele negatiivset mõju avaldades on sellega võimalik ka serverite võltsimine
viga.
"Serveri võltsimine lisab täiendavaid ohte
organisatsioonile, sealhulgas rünnakud, andmete väljafiltreerimine,
andmete võltsimine, koodi kaugkäivitamine ja muud ärakasutamised,” lisab ta.
Selle tavalist näidet võib näha koos
Windowsi rakendusserveritega seotud asjade Interneti (IoT) seadmed; nt IP
kõik kaamerad on ühendatud Windowsi serveriga, mis majutab videohaldust
taotlus.
"Sageli seadistatakse IoT-seadmed kasutades
samad paroolid; pääsete juurde ühele, olete saanud juurdepääsu neile kõigile," ta
ütleb. "Selle serveri võltsimine võib lubada andmete terviklikkuse ohtusid,
sealhulgas sügavvõltsingute istutamine.
Broomhead lisab, et algtasemel on need
ekspluatatsiooniteed on näited sisemise süsteemi usalduse rikkumisest – eriti
autentimise sunni puhul.
Hajutatud tööjõud laiendab rünnakut
Pind
Mike Parkin, ettevõtte vanemtehniline insener
Vulcan Cyber ütleb, kuigi tundub, et see probleem pole veel olnud
looduses võimendatud ohunäitleja edukalt võltsib seaduslikku ja
usaldusväärne server või autentimise sundimine ebausaldusväärsele serverile võib põhjustada a
hulga probleeme.
"Seal on palju funktsioone, mis on
põhineb serveri ja kliendi vahelisel usaldussuhtel ning selle võltsimisel
laseks ründajal neid suhteid kasutada, " märgib ta.
Parkin lisab hajutatud tööjõudu laieneb
ohupinda märgatavalt, mis muudab selle nõuetekohase kasutamise keerulisemaks
kontrollida juurdepääsu protokollidele, mida ei tohiks näha väljaspool organisatsiooni
kohalik keskkond.
Broomhead osutab pigem rünnakule
Kuna pind on korralikult andmekeskustes, on hajutatud tööjõud
laiendas ka füüsiliselt ja loogiliselt ründepinda.
"Võrgustiku sees tugipunkti saavutamine
on selle laiendatud rünnakupinnaga lihtsam, raskem kõrvaldada ja pakub
potentsiaal kanduda töötajate koju või isiklikesse võrkudesse.
ta ütleb.
Tema vaatenurgast nulli usalduse säilitamine
või kõige vähem privilegeeritud filosoofiad vähendab sõltuvust volikirjadest ja
volikirjade varastamise mõju.
Parkin lisab, et riski vähendamine alates
Sellised rünnakud nõuavad ohupinna minimeerimist, korralikku sisemist
juurdepääsukontrollid ja kogu keskkonnas olevate paikadega kursis hoidmine.
"Ükski neist pole täiuslik kaitse, kuid
need aitavad riski vähendada, ”ütleb ta.
