연구원들이 취약점을 발견했습니다.
Windows Server 서비스에 대한 RPC(원격 프로시저 호출)에서
공격자가 특정 도메인 컨트롤러(DC)를 제어할 수 있도록 허용
네트워크 구성 및 원격 코드 실행.
악의적인 행위자는 다음을 악용할 수도 있습니다.
서버를 수행하기 위해 서버의 인증서 매핑을 수정하는 취약점
스푸핑.
보안 문제 CVE-2022-30216,
패치되지 않은 Windows 11 및 Windows Server 2022 시스템에 존재하는
XNUMX월 패치 화요일에 해결되었지만 신고
취약점을 발견한 Akamai 연구원 Ben Barnes는 다음과 같이 말했습니다.
버그에 대한 기술적인 세부 사항.
전체 공격 흐름은 전체 제어를 제공합니다.
DC, 해당 서비스 및 데이터를 통해.
원격에 대한 개념 증명 익스플로잇
코드 실행
취약점은 SMB over QUIC에서 발견되었으며,
통신을 가능하게 하는 전송 계층 네트워크 프로토콜
섬기는 사람. 파일, 공유 및 공유와 같은 네트워크 리소스에 대한 연결을 허용합니다.
프린터. 자격 증명은 또한 수신자가
시스템을 신뢰할 수 있습니다.
이 버그로 인해 악의적인 행위자가 인증될 수 있습니다.
도메인 사용자로서 SMB 서버의 파일을 교체하고
Akamai에 따르면 클라이언트 연결. 개념 증명에서 연구원들은
인증 강제를 통해 자격 증명을 훔치는 버그를 악용했습니다.
구체적으로 그들은 NTLM
릴레이 공격. 이제 더 이상 사용되지 않는 NTLM은 약한 인증 프로토콜을 사용합니다.
자격 증명과 세션 키를 쉽게 공개할 수 있습니다. 릴레이 공격에서 나쁜 행위자는
인증을 캡처하여 다른 서버로 중계할 수 있습니다.
그런 다음 손상된 사용자로 원격 서버에 인증하는 데 사용합니다.
측면 이동 및 권한 에스컬레이션 기능 제공
Active Directory 도메인 내에서.
“우리가 선택한 방향은
인증 강제의 이점”, Akamai 보안 연구원
Ophir Harpaz는 말합니다. “우리가 선택한 특정 NTLM 릴레이 공격은
자격 증명을 Active Directory CS 서비스로 릴레이합니다.
네트워크에서 인증서 관리를 담당합니다.”
취약한 함수가 호출되면
피해자는 공격자가 제어하는 네트워크 자격 증명을 즉시 다시 보냅니다.
기계. 여기에서 공격자는 전체 RCE(원격 코드 실행)를 얻을 수 있습니다.
다른 여러 형태의 공격을 위한 발판을 마련하는 피해 시스템
...을 포함하여 랜섬,
데이터 유출 및 기타.
“우리는 Active Directory를 공격하기로 결정했습니다.
RCE가 가장 큰 영향을 미치도록 도메인 컨트롤러를 사용합니다.”라고 Harpaz는 덧붙입니다.
Akamai의 Ben Barnea는 이에 대해 지적합니다.
취약한 서비스가 모든 Windows의 핵심 서비스이기 때문에
이상적인 권장 사항은 취약한 시스템을 패치하는 것입니다.
"서비스를 비활성화하는 것은 불가능합니다.
해결 방법”이라고 그는 말합니다.
자격 증명으로 이어지는 서버 스푸핑
훔침
Viakoo의 CEO인 Bud Broomhead는 다음과 같이 말합니다.
조직에 부정적인 영향을 미치므로 이를 통해 서버 스푸핑도 가능합니다.
곤충.
"서버 스푸핑은 추가적인 위협을 추가합니다.
중간자 공격, 데이터 유출,
데이터 변조, 원격 코드 실행 및 기타 익스플로잇”이라고 덧붙입니다.
이에 대한 일반적인 예는 다음에서 볼 수 있습니다.
Windows 애플리케이션 서버에 연결된 사물 인터넷(IoT) 장치 예: IP
비디오 관리를 호스팅하는 Windows 서버에 모두 연결된 카메라
응용 프로그램.
“종종 IoT 장치는 다음을 사용하여 설정됩니다.
동일한 비밀번호; 하나에 액세스하면 모두 액세스할 수 있습니다.”라고 그는 말했습니다.
말한다. “해당 서버의 스푸핑은 데이터 무결성 위협을 가능하게 할 수 있습니다.
딥 페이크 심기를 포함합니다.”
Broomhead는 기본 수준에서 다음과 같이 덧붙입니다.
악용 경로는 내부 시스템 신뢰 위반의 예입니다. 특히
인증 강제의 경우.
분산된 인력으로 공격 확대
표면
마이크 파킨(Mike Parkin) 수석 기술 엔지니어
Vulcan Cyber는 이 문제가 아직 발생하지 않은 것으로 보이지만
야생에서 활용되는 위협 행위자는 성공적으로 합법적이고
신뢰할 수 있는 서버에 인증을 적용하거나 신뢰할 수 없는 서버에 강제로 인증하면
문제의 호스트.
"많은 기능이 있습니다.
서버와 클라이언트 간의 '신뢰' 관계를 기반으로 스푸핑
공격자가 이러한 관계를 활용하도록 허용할 것입니다.”라고 그는 지적합니다.
Parkin은 분산된 인력이 확장된다고 덧붙입니다.
위협 표면이 상당히 높아져 적절하게 대응하기가 더 어려워집니다.
조직 외부에서 보여서는 안 되는 프로토콜에 대한 액세스 제어
지역 환경.
Broomhead는 공격보다 지적합니다.
표면이 데이터 센터에 깔끔하게 포함되어 분산된 인력이
또한 공격 표면을 물리적 및 논리적으로 확장했습니다.
“네트워크 내에서 발판 확보
이 확장된 공격 표면으로 더 쉽고, 제거하기 더 어려우며,
직원의 가정 또는 개인 네트워크로 파급 가능성이 있습니다.”
그는 말한다.
제로 트러스트를 유지하는 그의 관점에서
또는 최소 권한 철학은 자격 증명에 대한 의존성을 줄이고
자격 증명 도난의 영향.
Parkin은
이와 같은 공격은 위협 표면을 최소화하고 적절한 내부
액세스 제어 및 환경 전반에 걸쳐 패치를 최신 상태로 유지합니다.
"그들 중 어느 것도 완벽한 방어는 아니지만
그들은 위험을 줄이는 역할을 합니다.”라고 그는 말합니다.
