Una vulnerabilità di Windows potrebbe violare le credenziali del server DC

I ricercatori hanno scoperto una vulnerabilità
nelle chiamate di procedura remota (RPC) per il servizio Windows Server, che potrebbe
consentire a un utente malintenzionato di ottenere il controllo sul controller di dominio (DC) in uno specifico
configurazione di rete ed eseguire il codice remoto.

Gli attori malintenzionati potrebbero anche sfruttare il
vulnerabilità per modificare la mappatura del certificato di un server per eseguire il server
spoofing.

Vulnerabilità CVE-2022-30216,
che esiste nelle macchine Windows 11 e Windows Server 2022 senza patch, era
affrontato nel Patch Tuesday di luglio, ma a rapporto
dal ricercatore Akamai Ben Barnes, che ha scoperto la vulnerabilità, offre
dettagli tecnici sul bug.

Il flusso di attacco completo fornisce il pieno controllo
sul DC, i suoi servizi e i dati.

Proof of Concept Exploit per Remote
Esecuzione del codice

La vulnerabilità è stata rilevata in SMB su QUIC,
un protocollo di rete a livello di trasporto, che consente la comunicazione con il
server. Consente connessioni a risorse di rete come file, condivisioni e
stampanti. Le credenziali sono anche esposte in base alla convinzione che il destinatario
sistema può essere considerato attendibile.

Il bug potrebbe consentire l'autenticazione di un attore malintenzionato
come utente di dominio per sostituire i file sul server SMB e servirli a
connettere i clienti, secondo Akamai. In una prova di concetto, i ricercatori
ha sfruttato il bug per rubare le credenziali tramite la coercizione dell'autenticazione.

In particolare, hanno creato un NTLM
attacco a staffetta. Ora deprecato, NTLM utilizza un protocollo di autenticazione debole che
può facilmente rivelare credenziali e chiavi di sessione. In un attacco a staffetta, cattivi attori
possono acquisire un'autenticazione e inoltrarla a un altro server, cosa che possono fare
quindi utilizzare per autenticarsi al server remoto con l'utente compromesso
privilegi, fornendo la possibilità di spostarsi lateralmente e aumentare i privilegi
all'interno di un dominio Active Directory.

“La direzione che abbiamo scelto è stata quella di prendere
vantaggio della coercizione dell'autenticazione", i ricercatori di sicurezza di Akamai
Ophir Harpaz dice. “Lo specifico attacco di inoltro NTLM che abbiamo scelto comporta
inoltrando le credenziali al servizio Active Directory CS, ovvero
responsabile della gestione dei certificati nella rete.

Una volta chiamata la funzione vulnerabile, il
la vittima restituisce immediatamente le credenziali di rete a un aggressore controllato
macchina. Da lì, gli aggressori possono ottenere l'esecuzione completa di codice remoto (RCE) sul file
macchina vittima, stabilendo un trampolino di lancio per molte altre forme di attacco
Compreso ransomware,
esfiltrazione di dati e altri.

“Abbiamo scelto di attaccare Active Directory
controller di dominio, in modo tale che l'RCE abbia il massimo impatto", aggiunge Harpaz.

Ben Barnea di Akamai lo sottolinea
caso e poiché il servizio vulnerabile è un servizio principale su ogni Windows
macchina, la raccomandazione ideale è quella di applicare una patch al sistema vulnerabile.

“Disabilitare il servizio non è fattibile
soluzione alternativa", dice.

Lo spoofing del server porta alle credenziali
Prevenzione

Bud Broomhead, CEO di Viakoo, dice in termini
di impatto negativo per le organizzazioni, è possibile anche lo spoofing del server
bug.

“Il server spoofing aggiunge ulteriori minacce
all'organizzazione, inclusi attacchi man-in-the-middle, esfiltrazione di dati,
manomissione dei dati, esecuzione di codice in modalità remota e altri exploit", aggiunge.

Un esempio comune di questo può essere visto con
Dispositivi Internet of Things (IoT) legati ai server delle applicazioni Windows; ad esempio, IP
telecamere tutte collegate a un server Windows che ospita la gestione video
applicazione.

“Spesso i dispositivi IoT vengono configurati utilizzando il
stesse password; ottenere l'accesso a uno, hai ottenuto l'accesso a tutti loro,” lui
dice. "Lo spoofing di quel server può consentire minacce all'integrità dei dati,
compreso l'impianto di deepfake.

Broomhead aggiunge che a livello base, questi
i percorsi di sfruttamento sono esempi di violazione della fiducia del sistema interno, in particolare
in caso di coercizione di autenticazione.

La forza lavoro distribuita amplia l'attacco
superficie

Mike Parkin, ingegnere tecnico senior presso
Vulcan Cyber, dice mentre non sembra che questo problema sia ancora stato
sfruttato in natura, un attore di minacce che falsifica con successo un legittimo e
server fidato, o forzare l'autenticazione a uno non fidato, potrebbe causare a
miriade di problemi.

“Ci sono molte funzioni che lo sono
basato sulla relazione di "fiducia" tra server e client e lo spoofing
consentirebbe a un utente malintenzionato di sfruttare una qualsiasi di queste relazioni", osserva.

Parkin aggiunge una forza lavoro distribuita ampliata
la superficie della minaccia notevolmente, il che rende più difficile da gestire correttamente
controllare l'accesso ai protocolli che non dovrebbero essere visti al di fuori dell'organizzazione
ambiente locale.

Broomhead sottolinea piuttosto che l'attacco
la superficie è contenuta ordinatamente nei data center, la forza lavoro distribuita lo ha fatto
ha anche ampliato la superficie di attacco fisicamente e logicamente.

“Prendere piede all'interno della rete
è più facile con questa superficie di attacco estesa, più difficile da eliminare e fornisce
potenziale di ricaduta nelle reti domestiche o personali dei dipendenti",
dice.

Dal suo punto di vista, mantenere zero trust
o filosofie meno privilegiate riduce la dipendenza dalle credenziali e dal
impatto del furto delle credenziali.

Parkin aggiunge che riducendo il rischio da
attacchi come questo richiedono di ridurre al minimo la superficie della minaccia, propriamente interna
controlli di accesso e aggiornamenti sulle patch in tutto l'ambiente.

“Nessuno di loro è una difesa perfetta, ma
servono a ridurre il rischio”, dice.