Tutkijat ovat löytäneet haavoittuvuuden
etäproseduurikutsuissa (RPC) Windows Server -palvelulle, mikä voisi
sallia hyökkääjän saada hallintaansa toimialueen ohjaimen (DC) tietyllä alueella
verkkoasetukset ja suorita etäkoodi.
Haitalliset toimijat voivat myös käyttää hyväkseen
haavoittuvuus muuttaa palvelimen varmennekartoitusta palvelimen suorittamiseksi
huijausta.
Alttius CVE-2022-30216,
joka on olemassa korjaamattomissa Windows 11- ja Windows Server 2022 -koneissa, oli
käsiteltiin heinäkuun tiistaina, mutta a raportti
haavoittuvuuden löytäneeltä Akamain tutkijalta Ben Barnesilta tarjoaa
vian tekniset tiedot.
Täysi hyökkäysvirta tarjoaa täyden hallinnan
DC:n, sen palvelujen ja datan kautta.
Proof of Concept Exploit for Remote
Koodin suorittaminen
Haavoittuvuus löydettiin SMB:stä QUIC:n kautta,
siirtokerroksen verkkoprotokolla, joka mahdollistaa viestinnän
palvelin. Se mahdollistaa yhteydet verkkoresursseihin, kuten tiedostoihin, jaetuksiin ja
tulostimet. Valtuustiedot paljastetaan myös sen perusteella, että vastaanottaja uskoo
järjestelmään voi luottaa.
Virhe saattaa sallia haitallisen toimijan todennuksen
verkkotunnuksen käyttäjänä korvaamaan SMB-palvelimella olevia tiedostoja ja palvelemaan niitä
yhdistää asiakkaita Akamain mukaan. Konseptin todisteena tutkijat
käytti vikaa hyväkseen valtuustietojen varastamiseen todennuspakotuksen avulla.
Erityisesti he perustivat an NTLM
välityshyökkäys. Nyt vanhentunut NTLM käyttää heikkoa todennusprotokollaa
voi helposti paljastaa tunnistetiedot ja istuntoavaimet. Viestihyökkäyksessä huonoja näyttelijöitä
voivat siepata todennuksen ja välittää sen toiselle palvelimelle - minkä he voivat
Käytä sitten todennusta etäpalvelimeen vaarantuneen käyttäjän kanssa
oikeudet, jotka tarjoavat mahdollisuuden liikkua sivusuunnassa ja laajentaa oikeuksia
Active Directory -toimialueen sisällä.
”Valitsimme suunnan
todennuspakon etu”, Akamai tietoturvatutkijat
Ophir Harpaz sanoo. "Valitsemamme erityinen NTLM-välityshyökkäys sisältää
valtuustietojen välittäminen Active Directory CS -palveluun, joka on
vastaa sertifikaattien hallinnasta verkossa."
Kun haavoittuva toiminto on kutsuttu,
uhri lähettää välittömästi verkkotunnukset takaisin hyökkääjälle
kone. Sieltä hyökkääjät voivat saada täyden etäkoodin suorituksen (RCE).
uhrikone, joka luo laukaisualustan useille muille hyökkäysmuodoille
mukaan lukien ransomware,
tietojen suodattaminen ja muut.
"Valitsimme hyökätä Active Directoryyn
verkkotunnuksen ohjain, jotta RCE on tehokkain”, Harpaz lisää.
Akamain Ben Barnea huomauttaa tästä
tapauksessa, ja koska haavoittuva palvelu on jokaisen Windowsin ydinpalvelu
koneeseen, ihanteellinen suositus on korjata haavoittuva järjestelmä.
"Palvelun poistaminen käytöstä ei ole mahdollista
ratkaisu", hän sanoo.
Palvelimen huijaus johtaa valtuustietoihin
varkaus
Bud Broomhead, Viakoon toimitusjohtaja, sanoo termein
organisaatioille kielteisiä vaikutuksia, palvelinhuijaus on myös mahdollista
bug.
"Palvelimen huijaus lisää uusia uhkia
organisaatioon, mukaan lukien man-in-the-middle-hyökkäykset, tietojen suodattaminen,
tietojen peukalointi, koodin etäsuoritus ja muut hyväksikäytöt", hän lisää.
Tästä voidaan nähdä yleinen esimerkki
Internet of Things (IoT) -laitteet, jotka on sidottu Windowsin sovelluspalvelimiin; esim. IP
Kaikki kamerat on kytketty Windows-palvelimeen, joka isännöi videonhallintaa
sovellus.
"IoT-laitteet asetetaan usein käyttämällä
samat salasanat; päästä käsiksi yhteen, olet saanut pääsyn niihin kaikkiin", hän
sanoo. "Palvelimen huijaus voi mahdollistaa tietojen eheysuhat,
mukaan lukien syväväärennösten istuttaminen."
Broomhead lisää, että perustasolla nämä
hyödyntämispolut ovat esimerkkejä sisäisen järjestelmän luottamuksen rikkomisesta – erityisesti
todennuspakotuksen tapauksessa.
Hajautettu työvoima laajentaa hyökkäystä
pinta
Mike Parkin, vanhempi tekninen insinööri osoitteessa
Vulcan Cyber sanoo, vaikka tämä ongelma ei näytä vielä olevan
luonnossa hyödynnettynä uhkanäyttelijänä, joka huijaa onnistuneesti laillista ja
luotettu palvelin tai todennuksen pakottaminen epäluotettavaan palvelimeen voi aiheuttaa a
monia ongelmia.
”On monia toimintoja
perustuu palvelimen ja asiakkaan väliseen "luottamus" suhteeseen ja sen huijaamiseen
antaisi hyökkääjän hyödyntää mitä tahansa näistä suhteista", hän huomauttaa.
Parkin lisää hajautettua työvoimaa laajenee
uhkan pintaa huomattavasti, mikä tekee siitä haastavampaa
valvoa pääsyä protokolliin, joita ei pitäisi nähdä organisaation ulkopuolella
paikalliseen ympäristöön.
Broomhead huomauttaa hyökkäyksen sijaan
Koska pinta on siististi palvelinkeskuksissa, hajautetulla työvoimalla on
laajensi myös hyökkäyspintaa fyysisesti ja loogisesti.
”Jalansijan saaminen verkostossa
on helpompaa tällä laajennetulla hyökkäyspinnalla, vaikeampi poistaa ja tarjoaa
mahdollisuus levitä työntekijöiden kotiin tai henkilökohtaisiin verkostoihin.
hän sanoo.
Hänen näkökulmastaan luottamuksen säilyttäminen nollassa
tai vähiten etuoikeutettu filosofia vähentää riippuvuutta valtuustiedoista ja
valtakirjojen varastamisen vaikutus.
Parkin lisää, että riskin vähentäminen
Tällaiset hyökkäykset edellyttävät uhkapinnan minimoimista, kunnollista sisäistä
kulunvalvonta ja päivitysten pitäminen koko ympäristössä.
"Kukaan heistä ei ole täydellinen puolustus, mutta
ne vähentävät riskiä", hän sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
