Des chercheurs ont découvert une vulnérabilité
dans les appels de procédure à distance (RPC) pour le service Windows Server, ce qui pourrait
permettre à un attaquant de prendre le contrôle du contrôleur de domaine (DC) dans un
configuration du réseau et exécuter du code à distance.
Des acteurs malveillants pourraient également exploiter les
vulnérabilité pour modifier le mappage de certificat d'un serveur pour effectuer le serveur
usurpation d'identité.
Vulnérabilité CVE-2022-30216,
qui existe sur les machines Windows 11 et Windows Server 2022 non corrigées, était
abordé dans le Patch Tuesday de juillet, mais un rapport
du chercheur d'Akamai, Ben Barnes, qui a découvert la vulnérabilité, propose
détails techniques sur le bug.
Le flux d'attaque complet offre un contrôle total
sur le DC, ses services et ses données.
Exploit de preuve de concept pour Remote
Exécution de code
La vulnérabilité a été trouvée dans SMB sur QUIC,
un protocole de réseau de couche de transport, qui permet la communication avec le
serveur. Il permet les connexions aux ressources réseau telles que les fichiers, les partages et
imprimantes. Les informations d'identification sont également exposées sur la base de la conviction que le destinataire
le système est digne de confiance.
Le bogue pourrait permettre à un acteur malveillant de s'authentifier
en tant qu'utilisateur de domaine pour remplacer les fichiers sur le serveur SMB et les servir à
connecter les clients, selon Akamai. Dans une preuve de concept, les chercheurs
exploité le bogue pour voler les informations d'identification via la contrainte d'authentification.
Concrètement, ils ont mis en place un NTLM
attaque de relais. Désormais obsolète, NTLM utilise un protocole d'authentification faible qui
peut facilement révéler les informations d'identification et les clés de session. Dans une attaque relais, les mauvais acteurs
peuvent capturer une authentification et la relayer vers un autre serveur — qu'ils peuvent
puis utilisez pour vous authentifier auprès du serveur distant avec l'utilisateur compromis
privilèges, offrant la possibilité de se déplacer latéralement et d'augmenter les privilèges
dans un domaine Active Directory.
« La direction que nous avons choisie était de prendre
avantage de la contrainte d'authentification », les chercheurs en sécurité d'Akamai
dit Ophir Harpaz. "L'attaque de relais NTLM spécifique que nous avons choisie implique
relayant les informations d'identification au service Active Directory CS, qui est
responsable de la gestion des certificats dans le réseau.
Une fois la fonction vulnérable appelée, le
la victime renvoie immédiatement les informations d'identification du réseau à une personne contrôlée par l'attaquant
machine. À partir de là, les attaquants peuvent obtenir l'exécution complète de code à distance (RCE) sur le
machine victime, établissant une rampe de lancement pour plusieurs autres formes d'attaque
comme ransomware,
exfiltration de données, et autres.
"Nous avons choisi d'attaquer l'Active Directory
contrôleur de domaine, de sorte que le RCE aura le plus d'impact », ajoute Harpaz.
Ben Barnea d'Akamai souligne avec ceci
cas, et puisque le service vulnérable est un service de base sur chaque Windows
machine, la recommandation idéale est de patcher le système vulnérable.
"Désactiver le service n'est pas faisable
solution de contournement », dit-il.
L'usurpation de serveur mène à des informations d'identification
Vol
Bud Broomhead, PDG de Viakoo, dit en termes
d'impact négatif pour les organisations, l'usurpation de serveur est également possible avec ce
punaise.
"L'usurpation de serveur ajoute des menaces supplémentaires
à l'organisation, y compris les attaques man-in-the-middle, l'exfiltration de données,
falsification de données, exécution de code à distance et autres exploits », ajoute-t-il.
Un exemple courant de ceci peut être vu avec
Appareils Internet des objets (IoT) liés aux serveurs d'applications Windows ; par exemple, IP
caméras toutes connectées à un serveur Windows hébergeant la gestion vidéo
.
"Souvent, les appareils IoT sont configurés à l'aide du
mêmes mots de passe ; accéder à un, vous avez accès à tous », a-t-il
dit. "L'usurpation de ce serveur peut permettre des menaces à l'intégrité des données,
y compris la plantation de deepfakes.
Broomhead ajoute qu'à un niveau de base, ces
les chemins d'exploitation sont des exemples de violation de la confiance du système interne - en particulier
en cas de contrainte d'authentification.
La main-d'œuvre distribuée élargit l'attaque
Surface
Mike Parkin, ingénieur technique senior chez
Vulcan Cyber, dit bien qu'il ne semble pas que ce problème ait encore été
exploité dans la nature, un acteur de la menace réussit à usurper un légitime et
serveur de confiance, ou forcer l'authentification sur un serveur non fiable, peut entraîner un
foule de problèmes.
"Il y a beaucoup de fonctions qui sont
basé sur la relation de « confiance » entre le serveur et le client et l'usurpation d'identité qui
laisserait un attaquant tirer parti de l'une de ces relations », note-t-il.
Parkin ajoute une main-d'œuvre distribuée élargit
la surface de la menace considérablement, ce qui rend plus difficile de bien
contrôler l'accès aux protocoles qui ne devraient pas être vus en dehors de l'organisation
environnement local.
Broomhead pointe plutôt que l'attaque
surface étant parfaitement contenue dans les centres de données, les effectifs distribués ont
également élargi la surface d'attaque physiquement et logiquement.
« Prendre pied dans le réseau
est plus facile avec cette surface d'attaque élargie, plus difficile à éliminer et offre
potentiel de débordement dans la maison ou les réseaux personnels des employés »,
dit-il.
De son point de vue, maintenir une confiance zéro
ou les philosophies les moins privilégiées réduit la dépendance à l'égard des titres de compétences et la
l'impact du vol d'informations d'identification.
Parkin ajoute que la réduction du risque de
des attaques comme celle-ci nécessitent de minimiser la surface de menace, une
les contrôles d'accès et la mise à jour des correctifs dans l'ensemble de l'environnement.
"Aucun d'entre eux n'est une défense parfaite, mais
ils servent à réduire le risque », dit-il.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
