آسیب‌پذیری ویندوز می‌تواند اعتبار سرور DC را باز کند

محققان یک آسیب پذیری را کشف کرده اند
در فراخوانی از راه دور (RPC) برای سرویس ویندوز سرور، که می تواند
به مهاجم اجازه می دهد تا کنترل کننده دامنه (DC) را در یک مکان خاص به دست آورد
پیکربندی شبکه و اجرای کد راه دور

بازیگران بدخواه نیز می توانند از آن سوء استفاده کنند
آسیب پذیری برای تغییر نگاشت گواهی سرور برای انجام سرور
جعل

اسیب پذیری CVE-2022-30216,
که در دستگاه های ویندوز 11 و ویندوز سرور 2022 وصله نشده وجود دارد، بود
در پچ سه‌شنبه ژوئیه مطرح شد، اما الف گزارش
بن بارنز، محقق Akamai، که این آسیب‌پذیری را کشف کرده است، پیشنهاد می‌کند
جزئیات فنی در مورد باگ

جریان حمله کامل کنترل کامل را فراهم می کند
از طریق DC، خدمات و داده های آن.

Proof of Concept Exploit for Remote
اجرای کد

این آسیب پذیری در SMB از طریق QUIC پیدا شد،
یک پروتکل شبکه لایه حمل و نقل، که ارتباط با
سرور این اجازه می دهد تا به منابع شبکه مانند فایل ها، اشتراک گذاری ها و
چاپگرها اعتبارنامه ها نیز بر اساس اعتقاد به دریافت کننده افشا می شوند
سیستم قابل اعتماد است

این اشکال می‌تواند به یک بازیگر مخرب اجازه احراز هویت را بدهد
به عنوان یک کاربر دامنه برای جایگزینی فایل ها در سرور SMB و ارائه آنها به آنها
به گفته Akamai، مشتریان را به هم متصل می کند. در اثبات مفهوم، محققین
از این باگ برای سرقت اعتبار از طریق اجبار احراز هویت سوء استفاده کرد.

به طور خاص، آنها راه اندازی کردند NTLM
حمله رله. اکنون منسوخ شده است، NTLM از یک پروتکل احراز هویت ضعیف استفاده می کند که
می تواند به راحتی اعتبارنامه ها و کلیدهای جلسه را آشکار کند. در یک حمله رله، بازیگران بد
می توانند یک احراز هویت را ضبط کنند و آن را به سرور دیگری منتقل کنند - که می توانند
سپس برای احراز هویت به سرور راه دور با کاربر در خطر استفاده کنید
امتیازات، امکان حرکت جانبی و افزایش امتیازات را فراهم می کند
در دامنه اکتیو دایرکتوری

«مسیری که ما انتخاب کردیم این بود که در پیش بگیریم
استفاده از اجبار احراز هویت،” محققان امنیتی Akamai
اوفیر هارپاز می گوید. «حمله رله NTLM خاصی که ما انتخاب کردیم شامل می شود
انتقال اعتبار به سرویس Active Directory CS، که این است
مسئول مدیریت گواهی ها در شبکه است."

هنگامی که تابع آسیب پذیر فراخوانی شد،
قربانی بلافاصله اعتبار شبکه را به یک مهاجم کنترل می کند
دستگاه. از آنجا، مهاجمان می توانند اجرای کامل کد از راه دور (RCE) را بر روی آن به دست آورند
ماشین قربانی، یک سکوی پرتاب برای چندین نوع حمله دیگر ایجاد می کند
شامل باجافزار,
استخراج داده ها، و دیگران.

ما تصمیم گرفتیم به Active Directory حمله کنیم
هارپاز اضافه می کند که کنترل کننده دامنه، به طوری که RCE بیشترین تأثیر را خواهد داشت.

Ben Barnea از Akamai به این نکته اشاره می کند
مورد، و از آنجایی که سرویس آسیب پذیر یک سرویس اصلی در هر ویندوز است
ماشین، توصیه ایده آل این است که سیستم آسیب پذیر را وصله کنید.

«غیرفعال کردن سرویس امکان پذیر نیست
راه حل،" او می گوید.

جعل سرور منجر به اعتبار می شود
دزدی

Bud Broomhead، مدیر عامل Viakoo، در این مورد می گوید
با تأثیر منفی بر سازمان ها، جعل سرور نیز با این امکان پذیر است
حشره.

جعل سرور تهدیدهای دیگری را اضافه می کند
به سازمان، از جمله حملات انسان در وسط، استخراج داده ها،
دستکاری داده ها، اجرای کد از راه دور و سایر اکسپلویت ها.»

یک مثال رایج از این را می توان با
دستگاه های اینترنت اشیا (IoT) متصل به سرورهای برنامه ویندوز؛ به عنوان مثال، IP
دوربین‌ها همگی به یک سرور ویندوز متصل هستند که مدیریت ویدیو را میزبانی می‌کند
نرم افزار.

«اغلب دستگاه‌های IoT با استفاده از راه‌اندازی می‌شوند
رمزهای عبور مشابه؛ به یکی دسترسی داشته باشید، شما به همه آنها دسترسی پیدا کرده اید
می گوید. جعل آن سرور می تواند تهدیدات یکپارچگی داده ها را فعال کند،
از جمله کاشت دیپ فیک.

Broomhead اضافه می کند که در سطح پایه، اینها
مسیرهای بهره برداری نمونه هایی از نقض اعتماد سیستم داخلی هستند - به ویژه
در مورد اجبار احراز هویت

نیروی کار توزیع شده حمله را گسترش می دهد
سطح

مایک پارکین، مهندس فنی ارشد در
Vulcan Cyber، می گوید در حالی که به نظر نمی رسد که این مشکل هنوز وجود داشته باشد
اهرمی در حیات وحش، یک بازیگر تهدید با موفقیت جعل مشروع و
سرور قابل اعتماد، یا اجباری کردن احراز هویت به یک نامعتبر، می‌تواند باعث ایجاد مشکل شود
انبوهی از مشکلات

"کارکردهای زیادی وجود دارد که هستند
بر اساس رابطه "اعتماد" بین سرور و مشتری و جعل آن
به مهاجم اجازه می دهد از هر یک از این روابط استفاده کند.

پارکین اضافه می کند که نیروی کار توزیع شده گسترش می یابد
سطح تهدید به طور قابل توجهی، که آن را به درستی چالش برانگیزتر می کند
کنترل دسترسی به پروتکل هایی که نباید خارج از سازمان دیده شوند
محیط محلی.

Broomhead به جای حمله اشاره می کند
سطحی که به طور منظم در مراکز داده وجود دارد، نیروی کار توزیع شده است
همچنین سطح حمله را از نظر فیزیکی و منطقی گسترش داد.

«به دست آوردن جای پایی در شبکه
با این سطح حمله گسترش یافته آسان تر است، از بین بردن آن سخت تر است و فراهم می کند
امکان سرریز به شبکه های خانگی یا شخصی کارکنان،
او میگوید.

از دیدگاه او، حفظ اعتماد صفر
یا فلسفه های دارای حداقل امتیاز، وابستگی به اعتبار و اعتبار را کاهش می دهد
تاثیر سرقت مدارک

پارکین اضافه می کند که کاهش خطر از
حملاتی مانند این مستلزم به حداقل رساندن سطح تهدید، داخلی مناسب است
کنترل های دسترسی و به روز نگه داشتن وصله ها در سراسر محیط.

هیچ یک از آنها دفاع کاملی نیستند، اما
آنها به کاهش خطر کمک می کنند.