研究者は脆弱性を発見しました
Windows Server サービスのリモート プロシージャ コール (RPC) で、
攻撃者が特定のドメイン コントローラー (DC) を制御できるようにする
ネットワーク構成とリモート コードの実行。
悪意のある攻撃者も、
サーバーの証明書マッピングを変更してサーバーを実行する脆弱性
なりすまし。
脆弱性 CVE-2022-30216,
これは、パッチが適用されていない Windows 11 および Windows Server 2022 マシンに存在していましたが、
XNUMX月の月例パッチで対処されましたが、 レポート
この脆弱性を発見した Akamai の研究者である Ben Barnes は、次のように述べています。
バグの技術的な詳細。
完全な攻撃フローは完全な制御を提供します
DC、そのサービス、およびデータを介して。
リモートの概念実証エクスプロイト
コード実行
SMB over QUIC に脆弱性が発見され、
との通信を可能にするトランスポート層ネットワーク プロトコル。
サーバ。 ファイル、共有、共有などのネットワーク リソースへの接続を許可します。
プリンター。 クレデンシャルも、受信側が
システムは信頼できます。
このバグにより、悪意のあるアクターが認証される可能性があります
ドメイン ユーザーとして、SMB サーバー上のファイルを置き換えて、
アカマイによると、クライアントを接続します。 概念実証では、研究者は
バグを悪用して、認証の強制によって資格情報を盗みました。
具体的には、彼らは NTLM
リレーアタック. 現在非推奨となっている NTLM は、脆弱な認証プロトコルを使用します。
資格情報とセッション キーを簡単に明らかにできます。 リレーアタックでは悪役
認証を取得し、それを別のサーバーに中継できます。
次に、侵害されたユーザーのリモートサーバーへの認証に使用します
横方向に移動して特権をエスカレートする機能を提供します
Active Directory ドメイン内。
「私たちが選んだ方向は、
認証強制の利点」、Akamai のセキュリティ研究者
オフィール・ハルパズは言います。 「私たちが選択した特定の NTLM リレー攻撃には、
クレデンシャルを Active Directory CS サービスにリレーします。
ネットワーク内の証明書の管理を担当しています。」
脆弱な関数が呼び出されると、
被害者はすぐに攻撃者が制御するネットワーク資格情報を送り返します
機械。 そこから、攻撃者は完全なリモート コード実行 (RCE) を得ることができます。
被害者のマシンは、他のいくつかの攻撃形態の発射台を確立します
配合工業用化学製品の ランサムウェア,
データの流出など。
「私たちは Active Directory を攻撃することにしました
RCE が最も影響力を持つようなドメイン コントローラーです」と Harpaz 氏は付け加えます。
Akamai の Ben Barnea は次のように指摘しています。
脆弱なサービスはすべての Windows のコア サービスであるため、
脆弱なシステムにパッチを適用することをお勧めします。
「サービスを無効にすることは現実的ではありません
回避策です」と彼は言います。
サーバーのなりすましが資格情報につながる
盗難
Viakoo の CEO である Bud Broomhead 氏は次のように述べています。
組織に悪影響を与えるため、これによりサーバーのなりすましも可能です
バグ
「サーバーのなりすましは、さらなる脅威を追加します
中間者攻撃、データ流出、
データの改ざん、リモート コードの実行、およびその他の悪用」と彼は付け加えます。
これの一般的な例は、
Windows アプリケーション サーバーに関連付けられたモノのインターネット (IoT) デバイス。 例: IP
すべてのカメラがビデオ管理をホストする Windows サーバーに接続されている
アプリケーション。
「多くの場合、IoT デバイスは、
同じパスワード; XNUMX つにアクセスできれば、それらすべてにアクセスできるようになります」と彼は言いました。
と言う。 「そのサーバーのなりすましは、データの完全性の脅威を可能にする可能性があります。
ディープフェイクの植え付けを含む。」
ブルームヘッドは、基本的なレベルでは、これらは
エクスプロイト パスは、内部システムの信頼を侵害する例です。特に
認証強制の場合。
分散した従業員が攻撃を拡大
表面
Mike Parkin 氏、シニア テクニカル エンジニア
Vulcan Cyber によると、この問題はまだ解決されていないようですが、
実際に悪用され、脅威アクターは正当なコンテンツのなりすましに成功し、
信頼されたサーバーに認証を強制したり、認証を信頼されていないサーバーに強制したりすると、
問題のホスト。
「使える機能はたくさんある
サーバーとクライアントの間の「信頼」関係とそのスプーフィングに基づく
攻撃者はこれらの関係を利用できます」と彼は指摘します。
Parkin は、分散した従業員が拡大することを追加します
脅威が大幅に表面化するため、適切に対処することがより困難になります。
組織の外で見られるべきではないプロトコルへのアクセスを制御する
ローカル環境。
ブルームヘッドは攻撃ではなく指摘する
表面がデータセンターにきちんと収容されているため、分散した従業員は
また、攻撃対象領域を物理的および論理的に拡大しました。
「ネットワーク内で足場を固める
この拡張された攻撃対象領域により簡単になり、排除するのが難しくなり、
従業員の家庭や個人のネットワークに波及する可能性がある」
彼は言う。
彼の観点から、ゼロトラストの維持
または最小特権の哲学により、資格情報への依存が軽減され、
資格情報が盗まれることの影響。
パーキンは、
このような攻撃には、脅威の表面を最小限に抑える必要があります。
アクセス制御を行い、環境全体でパッチを最新の状態に保ちます。
「どれも完璧な防御ではありませんが、
それらはリスクを軽減するのに役立ちます」と彼は言います。
