Onderzoekers hebben een kwetsbaarheid ontdekt
in de remote procedure calls (RPC) voor de Windows Server-service, wat zou kunnen
een aanvaller in staat stellen controle te krijgen over de domeincontroller (DC) in een specifiek
netwerkconfiguratie en externe code uitvoeren.
Kwaadwillende actoren kunnen ook misbruik maken van de
kwetsbaarheid om de certificaattoewijzing van een server te wijzigen om server uit te voeren
spoofen.
Kwetsbaarheid CVE-2022-30216,
die bestaat in niet-gepatchte Windows 11- en Windows Server 2022-machines, was
behandeld in Patch Tuesday van juli, maar a verslag
van Akamai-onderzoeker Ben Barnes, die de kwetsbaarheid ontdekte, aanbiedingen
technische details over de bug.
De volledige aanvalsstroom biedt volledige controle
over het DC, zijn diensten en gegevens.
Proof of Concept-exploit voor afstandsbediening
Code-uitvoering
De kwetsbaarheid werd gevonden in SMB via QUIC,
een transportlaag netwerkprotocol, dat communicatie mogelijk maakt met de
server. Het maakt verbindingen mogelijk met netwerkbronnen zoals bestanden, shares en
drukkers. Referenties worden ook weergegeven op basis van de overtuiging dat de ontvangende
systeem kan worden vertrouwd.
Door de bug kan een kwaadwillende actor worden geverifieerd
als domeingebruiker om bestanden op de SMB-server te vervangen en aan te bieden
klanten verbinden, volgens Akamai. In een proof of concept, onderzoekers
misbruikte de bug om inloggegevens te stelen via authenticatiedwang.
Concreet richtten ze een NTLM
estafette aanval. Nu verouderd, gebruikt NTLM een zwak authenticatieprotocol dat
kan gemakkelijk inloggegevens en sessiesleutels onthullen. Bij een estafetteaanval, slechte acteurs
kunnen een authenticatie vastleggen en doorgeven aan een andere server - wat ze kunnen
gebruik vervolgens om u te authenticeren bij de externe server met die van de gecompromitteerde gebruiker
privileges, die de mogelijkheid bieden om lateraal te bewegen en privileges te escaleren
binnen een Active Directory-domein.
“De richting die we kozen was om te nemen
profiteren van de authenticatiedwang”, aldus Akamai-beveiligingsonderzoekers
zegt Ophir Harpaz. “De specifieke NTLM-relay-aanval die we hebben gekozen, omvat
het doorgeven van de inloggegevens aan de Active Directory CS-service, dat is
verantwoordelijk voor het beheer van certificaten in het netwerk.”
Zodra de kwetsbare functie is aangeroepen, wordt de
slachtoffer stuurt onmiddellijk netwerkreferenties terug naar een door een aanvaller bestuurd
machine. Van daaruit kunnen aanvallers volledige uitvoering van externe code (RCE) verkrijgen op de
slachtoffermachine, die een lanceerplatform vormt voor verschillende andere aanvalsvormen
waaronder ransomware,
data-exfiltratie, en anderen.
“We kozen ervoor om de Active Directory aan te vallen
domeincontroller, zodat de RCE de meeste impact zal hebben”, voegt Harpaz toe.
Ben Barnea van Akamai wijst hierop
geval, en aangezien de kwetsbare service een kernservice is op elke Windows
machine, is de ideale aanbeveling om het kwetsbare systeem te patchen.
“Het uitschakelen van de dienst is niet haalbaar
oplossing', zegt hij.
Server-spoofing leidt tot referentie
Diefstal
Bud Broomhead, CEO van Viakoo, zegt het in termen
van negatieve impact op organisaties, server spoofing is hiermee ook mogelijk
bug.
“Server-spoofing voegt extra bedreigingen toe
voor de organisatie, inclusief man-in-the-middle-aanvallen, data-exfiltratie,
geknoei met gegevens, uitvoering van code op afstand en andere exploits”, voegt hij eraan toe.
Een veelvoorkomend voorbeeld hiervan is te zien met
Internet of Things (IoT)-apparaten gekoppeld aan Windows-toepassingsservers; bijv. IP
camera's die allemaal zijn aangesloten op een Windows-server die het videobeheer host
toepassing.
“Vaak worden IoT-apparaten ingesteld met behulp van de
dezelfde wachtwoorden; krijg toegang tot één, je hebt toegang gekregen tot ze allemaal, 'hij
zegt. "Spoofing van die server kan bedreigingen voor de gegevensintegriteit mogelijk maken,
inclusief het planten van deepfakes.”
Broomhead voegt eraan toe dat deze op een basisniveau
exploitatiepaden zijn voorbeelden van het schenden van het interne systeemvertrouwen - vooral
in het geval van authenticatiedwang.
Gedistribueerd personeelsbestand verbreedt aanval
Oppervlak
Mike Parkin, senior technisch ingenieur bij
Vulcan Cyber, terwijl het er niet naar uitziet dat dit probleem er nog niet is
misbruikt in het wild, een bedreigingsactor die met succes een legitieme en
vertrouwde server, of het forceren van authenticatie naar een niet-vertrouwde server, kan leiden tot een
tal van problemen.
“Er zijn veel functies die dat wel zijn
gebaseerd op de 'vertrouwens'-relatie tussen server en client en die spoofing
zou een aanvaller in staat stellen gebruik te maken van een van die relaties”, merkt hij op.
Parkin voegt een gedistribueerd personeelsbestand toe
de dreiging neemt aanzienlijk toe, wat het moeilijker maakt om correct te handelen
controle over de toegang tot protocollen die buiten de organisatie niet zichtbaar mogen zijn
Lokale omgeving.
Broomhead wijst eerder op de aanval dan op de aanval
oppervlak dat netjes in datacenters is ondergebracht, hebben gedistribueerde arbeidskrachten
breidde ook het aanvalsoppervlak fysiek en logisch uit.
“Piet aan de grond krijgen binnen het netwerk
is gemakkelijker met dit uitgebreide aanvalsoppervlak, moeilijker te elimineren en biedt
potentieel voor spillover naar de thuis- of persoonlijke netwerken van werknemers, "
hij zegt.
Vanuit zijn perspectief, behoud van nul vertrouwen
of minst bevoorrechte filosofieën vermindert de afhankelijkheid van geloofsbrieven en de
gevolgen van diefstal van inloggegevens.
Parkin voegt eraan toe dat het risico wordt verminderd
dit soort aanvallen vereist het minimaliseren van het dreigingsoppervlak, een goede interne
toegangscontroles en het up-to-date houden van patches in de hele omgeving.
“Geen van hen is een perfecte verdediging, maar
ze dienen om het risico te verminderen, "zegt hij.
