חוקרים גילו פגיעות
בהליך מרחוק קריאות (RPC) עבור שירות Windows Server, אשר יכול
לאפשר לתוקף להשיג שליטה על בקר התחום (DC) בספציפי
תצורת רשת וביצוע קוד מרחוק.
שחקנים זדוניים עלולים גם לנצל את
פגיעות לשינוי מיפוי האישורים של שרת לביצוע שרת
זיוף.
פגיעות CVE-2022-30216,
שקיים במכונות Windows 11 ו-Windows Server 2022 לא מתוקנות, היה
התייחס ב-Patch Tuesday של יולי, אבל א לדווח
מחוקר אקמאי בן בארנס, שגילה את הפגיעות, מציע
פרטים טכניים על הבאג.
זרימת ההתקפה המלאה מספקת שליטה מלאה
על ה-DC, השירותים והנתונים שלו.
הוכחת קונספט ניצול עבור מרחוק
ביצוע קוד
הפגיעות נמצאה ב-SMB מעל QUIC,
פרוטוקול רשת שכבת תחבורה, המאפשר תקשורת עם
שרת. זה מאפשר חיבורים למשאבי רשת כגון קבצים, שיתופים ו
מדפסות. אישורים נחשפים גם על סמך אמונה שהמקבל
ניתן לסמוך על המערכת.
הבאג עלול לאפשר אימות של שחקן זדוני
כמשתמש תחום להחליף קבצים בשרת ה-SMB ולהגיש אותם
חיבור לקוחות, לפי Akamai. בהוכחה לקונספט, חוקרים
ניצל את הבאג כדי לגנוב אישורים באמצעות כפיית אימות.
באופן ספציפי, הם הקימו א NTLM
התקפת ממסר. כעת הוצא משימוש, NTLM משתמש בפרוטוקול אימות חלש
יכול לחשוף בקלות אישורים ומפתחות הפעלה. בהתקפת ממסר, שחקנים גרועים
יכולים ללכוד אימות ולהעביר אותו לשרת אחר - מה שהם יכולים
לאחר מכן השתמש כדי לאמת לשרת המרוחק עם זה של המשתמש שנפרץ
הרשאות, המספקות את היכולת לנוע לרוחב ולהסלים הרשאות
בתוך תחום Active Directory.
"הכיוון שבחרנו היה לקחת
היתרון של כפיית האימות", חוקרי האבטחה של Akamai
אומר אופיר הרפז. "התקפת הממסר הספציפית של NTLM שבחרנו כוללת
העברת האישורים לשירות Active Directory CS, כלומר
אחראי על ניהול האישורים ברשת”.
ברגע שהפונקציה הפגיעה נקראת, ה-
הקורבן שולח מיד בחזרה אישורי רשת לגורם הנשלט על ידי תוקף
מְכוֹנָה. משם, תוקפים יכולים להשיג ביצוע מלא של קוד מרחוק (RCE) ב-
מכונת הקורבן, הקמת משטח שיגור לכמה צורות אחרות של התקפה
לְרַבּוֹת ransomware,
חילוץ נתונים ואחרים.
"בחרנו לתקוף את ה-Active Directory
בקר תחום, כך שה-RCE יהיה המשפיע ביותר", מוסיף הרפז.
מציין בזה בן ברנע של אקמאי
במקרה, ומכיוון שהשירות הפגיע הוא שירות ליבה בכל Windows
מכונה, ההמלצה האידיאלית היא לתקן את המערכת הפגיעה.
"השבתת השירות אינה ריאלית
פתרון עוקף", הוא אומר.
זיוף שרת מוביל לאישורים
גְנֵבָה
באד ברומהד, מנכ"ל Viakoo, אומר במונחים
של השפעה שלילית על ארגונים, זיוף שרת אפשרי גם עם זה
חרק.
"זיוף שרתים מוסיף איומים נוספים
לארגון, לרבות התקפות אדם-באמצע, סינון נתונים,
שיבוש נתונים, ביצוע קוד מרחוק וניצולים אחרים", הוא מוסיף.
דוגמה נפוצה לכך ניתן לראות עם
התקני האינטרנט של הדברים (IoT) הקשורים לשרתי יישומי Windows; למשל, IP
מצלמות המחוברות כולן לשרת Windows המארח את ניהול הווידאו
יישום.
"לעתים קרובות מכשירי IoT מוגדרים באמצעות
אותן סיסמאות; לקבל גישה לאחד, השגת גישה לכולן", הוא
אומר. "זיוף של השרת הזה יכול לאפשר איומי שלמות נתונים,
כולל שתילת זיופים עמוקים."
Broomhead מוסיף שברמה בסיסית, אלה
נתיבי ניצול הם דוגמאות להפרת אמון מערכת פנימית - במיוחד
במקרה של כפיית אימות.
כוח עבודה מבוזר מרחיב את ההתקפה
משטח
מייק פרקין, מהנדס טכני בכיר ב
וולקן סייבר, אומר למרות שלא נראה שהבעיה הזו עדיין הייתה
ממונף בטבע, שחקן איום מצליח לזייף לגיטימי ו
שרת מהימן, או כפיית אימות לשרת לא מהימן, עלולים לגרום ל-
שורה של בעיות.
"יש הרבה פונקציות שכן
מבוסס על יחסי 'אמון' בין שרת ללקוח וזיוף זה
ייתן לתוקף למנף כל אחד מהיחסים האלה", הוא מציין.
פרקין מוסיף כוח עבודה מבוזר מתרחב
משטח האיום במידה ניכרת, מה שהופך אותו למאתגר יותר לעבוד כראוי
לשלוט בגישה לפרוטוקולים שאסור לראות מחוץ לפרוטוקולים של הארגון
הסביבה המקומית.
Broomhead מצביע על ההתקפה במקום
משטח כלול בצורה מסודרת במרכזי נתונים, יש לכוח העבודה המבוזר
גם הרחיב את משטח ההתקפה פיזית והגיונית.
"קבלת דריסת רגל בתוך הרשת
קל יותר עם משטח התקפה מורחב זה, קשה יותר לחסל, ומספק
פוטנציאל זליגה לרשתות הביתיות או האישיות של העובדים."
הוא אומר.
מנקודת המבט שלו, שמירה על אפס אמון
או הפילוסופיות הפחות מיוחסות מפחיתות את התלות באישורים וב-
ההשפעה של גניבת אישורים.
פרקין מוסיף כי הפחתת הסיכון מ
התקפות כאלה דורשות מזעור משטח האיום, פנימי תקין
בקרות גישה, ושמירה על עדכון על תיקונים בכל הסביבה.
"אף אחד מהם אינו הגנה מושלמת, אבל
הם אכן משמשים להפחתת הסיכון", הוא אומר.
