A kutatók egy sebezhetőséget fedeztek fel
a távoli eljáráshívásokban (RPC) a Windows Server szolgáltatáshoz, amely képes lenne
lehetővé teszi a támadó számára, hogy átvegye az irányítást a tartományvezérlő (DC) felett egy adott területen
hálózati konfigurálást és távoli kód futtatását.
A rosszindulatú szereplők is kihasználhatják a
sérülékenység a kiszolgáló tanúsítványleképezésének módosításához a kiszolgáló végrehajtásához
hamisítás.
Sebezhetőség CVE-2022 30216-,
amely a javítatlan Windows 11 és Windows Server 2022 gépeken létezik, az volt
címmel a júliusi patch kedden, de a jelentést
a sérülékenységet felfedező Akamai kutatótól, Ben Barnestól, felajánlja
technikai részletek a hibáról.
A teljes támadási folyamat teljes irányítást biztosít
a DC-n keresztül, annak szolgáltatásaival és adataival.
Proof of Concept Exploit távoli
Kódvégrehajtás
A biztonsági rést az SMB-ben találták a QUIC-on keresztül,
szállítási rétegű hálózati protokoll, amely lehetővé teszi a kommunikációt a
szerver. Lehetővé teszi a csatlakozást hálózati erőforrásokhoz, például fájlokhoz, megosztásokhoz és
nyomtatók. A hitelesítő adatok azon a meggyőződésen alapulnak, hogy a fogadó
rendszerben lehet megbízni.
A hiba lehetővé teheti egy rosszindulatú szereplő hitelesítését
tartományfelhasználóként, hogy lecserélje a fájlokat az SMB-kiszolgálón és kiszolgálja azokat
ügyfelek összekapcsolása Akamai szerint. A koncepció bizonyítékában a kutatók
a hibát kihasználva hitelesítési kényszer segítségével hitelesítő adatokat lopott el.
Konkrétan felállítottak egy NTLM
váltótámadás. Az NTLM már elavult, gyenge hitelesítési protokollt használ, amely
könnyen felfedheti a hitelesítő adatokat és a munkamenet kulcsait. Váltótámadásban rossz színészek
rögzíthetik a hitelesítést és továbbíthatják egy másik szervernek – amit meg is tudnak
majd használja a távoli kiszolgáló hitelesítéséhez a feltört felhasználóval
privilégiumokat, lehetővé téve az oldalirányú mozgást és a jogosultságok kiterjesztését
egy Active Directory tartományon belül.
„Az az irány, amelyet választottunk, az volt
a hitelesítési kényszer előnyeit” – mondta az Akamai biztonsági kutatók
Ophir Harpaz azt mondja. „Az általunk választott konkrét NTLM-közvetítő támadás magában foglalja
a hitelesítő adatok továbbítása az Active Directory CS szolgáltatáshoz, amely az
felelős a tanúsítványok kezeléséért a hálózaton.”
A sebezhető függvény meghívása után a
Az áldozat azonnal visszaküldi a hálózati hitelesítő adatokat a támadó által irányítottnak
gép. Innentől a támadók teljes távoli kódvégrehajtást (RCE) kaphatnak a számítógépen
áldozati gép, indítóállást létesítve számos más támadási formához
beleértve ransomware,
adatok kiszűrése és mások.
„Az Active Directory megtámadását választottuk
tartományvezérlő, így az RCE lesz a leghatékonyabb” – teszi hozzá Harpaz.
Akamai Ben Barnea mutat rá ezzel
esetre, és mivel a sérülékeny szolgáltatás minden Windows alapszolgáltatása
gépen, az ideális ajánlás a sérülékeny rendszer javítása.
„A szolgáltatás letiltása nem kivitelezhető
megoldás” – mondja.
A szerverhamisítás hitelesítő adatokhoz vezet
lopás
Bud Broomhead, a Viakoo vezérigazgatója így fogalmaz
A szervezetekre gyakorolt negatív hatások, a szerverhamisítás is lehetséges ezzel
bogár.
„A szerverhamisítás további fenyegetésekkel jár
a szervezet számára, beleértve a köztes támadásokat, az adatok kiszűrését,
az adatok manipulálása, távoli kódvégrehajtás és egyéb visszaélések” – teszi hozzá.
Ennek gyakori példája látható a
Internet of Things (IoT) eszközök, amelyek Windows-alkalmazásszerverekhez vannak kötve; pl IP
A kamerák mindegyike a videokezelést kiszolgáló Windows-kiszolgálóhoz csatlakozik
alkalmazás.
„Az IoT-eszközöket gyakran a
ugyanazok a jelszavak; hozzáférést kapsz az egyikhez, akkor mindegyikhez hozzájutott” – mondta
mondja. „A szerver meghamisítása lehetővé teszi az adatok integritását fenyegető veszélyeket,
beleértve a mélyhamisítások telepítését is.”
Broomhead hozzáteszi, hogy alapszinten ezek
A kihasználási utak a belső rendszerbizalom megsértésének példái – különösen
hitelesítési kényszer esetén.
Az elosztott munkaerő kiterjeszti a támadást
felületi
Mike Parkin, vezető műszaki mérnök
A Vulcan Cyber azt mondja, bár úgy tűnik, ez a probléma még nem merült fel
a vadonban kihasznált fenyegetés szereplője sikeresen hamisít egy legitim és
megbízható kiszolgáló, vagy a hitelesítés nem megbízható szerverre kényszerítése a
problémák serege.
„Sok funkció van
a szerver és a kliens közötti „bizalmi” kapcsolaton és ennek meghamisításán alapul
hagyná, hogy egy támadó kihasználja ezeket a kapcsolatokat” – jegyzi meg.
Parkin hozzáteszi, az elosztott munkaerő bővül
jelentősen megterheli a fenyegetettséget, ami nagyobb kihívást jelent a megfelelő működéshez
szabályozza a hozzáférést azokhoz a protokollokhoz, amelyeket nem szabad a szervezeten kívül látni
helyi környezet.
Broomhead inkább rámutat, mint a támadásra
Mivel az adatközpontok felülete szépen el van helyezve, az elosztott munkaerő rendelkezik
fizikailag és logikailag is kiterjesztette a támadási felületet.
„Megvetni a lábát a hálózaton belül
könnyebb ezzel a kiterjesztett támadási felülettel, nehezebb kiküszöbölni, és biztosítja
az alkalmazottak otthoni vagy személyes hálózataiba való átterjedésének lehetősége.”
mondja.
Az ő szemszögéből a bizalom nulla fenntartása
vagy a legkevésbé kiváltságos filozófiák csökkenti a hitelesítő adatoktól való függőséget és a
a hitelesítő adatok ellopásának hatása.
Parkin hozzáteszi, hogy csökkenti a kockázatot a
az ehhez hasonló támadásokhoz a fenyegetés felületének minimalizálása, megfelelő belső
hozzáférés-szabályozás, valamint a javítások naprakészen tartása az egész környezetben.
„Egyikük sem tökéletes védelem, de
a kockázat csökkentését szolgálják” – mondja.
