Para peneliti telah menemukan kerentanan
dalam panggilan prosedur jarak jauh (RPC) untuk layanan Windows Server, yang bisa
memungkinkan penyerang untuk mendapatkan kendali atas pengontrol domain (DC) secara spesifik
konfigurasi jaringan dan mengeksekusi kode jarak jauh.
Aktor jahat juga dapat mengeksploitasinya
kerentanan untuk mengubah pemetaan sertifikat server untuk melakukan server
spoofing.
Kerentanan CVE-2022-30216,
yang ada di mesin Windows 11 dan Windows Server 2022 yang belum ditambal, adalah
dibahas di Patch Tuesday bulan Juli, tapi a melaporkan
dari peneliti Akamai Ben Barnes, yang menemukan kerentanan tersebut, menawarkan
rincian teknis tentang bug tersebut.
Aliran serangan penuh memberikan kontrol penuh
melalui DC, layanannya, dan datanya.
Bukti Eksploitasi Konsep untuk Jarak Jauh
Eksekusi Kode
Kerentanan ditemukan di SMB melalui QUIC,
protokol jaringan lapisan transport, yang memungkinkan komunikasi dengan
server. Ini memungkinkan koneksi ke sumber daya jaringan seperti file, share, dan
printer. Kredensial juga diungkapkan berdasarkan keyakinan yang menerimanya
sistem dapat dipercaya.
Bug ini memungkinkan aktor jahat diautentikasi
sebagai pengguna domain untuk mengganti file di server SMB dan menyajikannya
menghubungkan klien, menurut Akamai. Sebagai pembuktian konsep, peneliti
mengeksploitasi bug untuk mencuri kredensial melalui paksaan otentikasi.
Secara khusus, mereka mendirikan sebuah NTLM
serangan estafet. Sekarang sudah tidak digunakan lagi, NTLM menggunakan protokol otentikasi yang lemah
dapat dengan mudah mengungkapkan kredensial dan kunci sesi. Dalam serangan estafet, aktor jahat
dapat menangkap otentikasi dan meneruskannya ke server lain โ dan mereka bisa melakukannya
kemudian gunakan untuk mengautentikasi ke server jarak jauh dengan pengguna yang disusupi
hak istimewa, memberikan kemampuan untuk bergerak kesamping dan meningkatkan hak istimewa
dalam domain Direktori Aktif.
โArah yang kami pilih adalah mengambil
keuntungan dari paksaan otentikasi,โ peneliti keamanan Akamai
kata Ophir Harpaz. โSerangan relai NTLM spesifik yang kami pilih melibatkan
meneruskan kredensial ke layanan CS Direktori Aktif, yaitu
bertanggung jawab untuk mengelola sertifikat di jaringan.โ
Setelah fungsi rentan dipanggil, fungsi tersebut
korban segera mengirimkan kembali kredensial jaringan ke yang dikendalikan penyerang
mesin. Dari sana, penyerang bisa mendapatkan eksekusi kode jarak jauh (RCE) penuh di
mesin korban, yang menjadi landasan peluncuran beberapa bentuk serangan lainnya
termasuk ransomware,
eksfiltrasi data, dan lain-lain.
โKami memilih untuk menyerang Active Directory
pengontrol domain, sehingga RCE akan memberikan dampak yang paling besar,โ Harpaz menambahkan.
Ben Barnea dari Akamai menunjukkan hal ini
kasus ini, dan karena layanan yang rentan adalah layanan inti di setiap Windows
mesin, rekomendasi yang ideal adalah menambal sistem yang rentan.
โMenonaktifkan layanan ini tidak mungkin dilakukan
solusinya,โ katanya.
Spoofing Server Menghasilkan Kredensial
Pencurian
Bud Broomhead, CEO di Viakoo, mengatakan hal tersebut
memiliki dampak negatif terhadap organisasi, spoofing server juga mungkin terjadi
serangga.
โSpoofing server menambah ancaman tambahan
terhadap organisasi, termasuk serangan man-in-the-middle, penyelundupan data,
gangguan data, eksekusi kode jarak jauh, dan eksploitasi lainnya,โ tambahnya.
Contoh umum dari hal ini dapat dilihat dengan
Perangkat Internet of Things (IoT) yang terikat dengan server aplikasi Windows; misalnya, IP
semua kamera terhubung ke server Windows yang menampung manajemen video
aplikasi.
โSeringkali perangkat IoT diatur menggunakan
kata sandi yang sama; mendapatkan akses ke satu, Anda mendapatkan akses ke semuanya,โ dia
mengatakan. โSpoofing pada server tersebut dapat menyebabkan ancaman integritas data,
termasuk penanaman deepfake.โ
Broomhead menambahkan bahwa pada tingkat dasar, ini
jalur eksploitasi adalah contoh pelanggaran kepercayaan sistem internal โ khususnya
dalam hal paksaan otentikasi.
Tenaga Kerja Terdistribusi Memperluas Serangan
Permukaan
Mike Parkin, insinyur teknis senior di
Vulcan Cyber, mengatakan meskipun tampaknya masalah ini belum terjadi
dimanfaatkan di alam liar, aktor ancaman berhasil melakukan spoofing yang sah dan
server tepercaya, atau memaksa otentikasi ke server yang tidak tepercaya, dapat menyebabkan a
sejumlah masalah.
โFungsinya banyak sekali
berdasarkan hubungan 'kepercayaan' antara server dan klien dan memalsukannya
akan membiarkan penyerang memanfaatkan hubungan tersebut,โ catatnya.
Parkin menambahkan tenaga kerja yang terdistribusi semakin luas
ancaman tersebut muncul secara signifikan, sehingga menjadikannya lebih sulit untuk diatasi dengan baik
mengontrol akses ke protokol yang tidak boleh dilihat di luar organisasi
lingkungan lokal.
Broomhead menunjukkan daripada menyerang
permukaan yang tertampung dengan rapi di pusat data, memiliki tenaga kerja yang terdistribusi
juga memperluas permukaan serangan secara fisik dan logis.
โMendapatkan pijakan dalam jaringan
lebih mudah dengan permukaan serangan yang diperluas ini, lebih sulit untuk dihilangkan, dan disediakan
potensi limpahan ke jaringan rumah atau pribadi karyawan,โ
katanya.
Dari sudut pandangnya, menjaga kepercayaan nol
atau filosofi yang paling tidak diistimewakan mengurangi ketergantungan pada kredensial dan
dampak kredensial yang dicuri.
Parkin menambahkan bahwa mengurangi risiko dari
serangan seperti ini memerlukan minimalisasi ancaman permukaan, internal yang tepat
kontrol akses, dan selalu memperbarui patch di seluruh lingkungan.
โTidak satu pun dari mereka yang merupakan pertahanan sempurna, tapi
mereka memang berfungsi untuk mengurangi risiko,โ katanya.
