Forskere har oppdaget en sårbarhet
i fjernprosedyrekallene (RPC) for Windows Server-tjenesten, som kan
tillate en angriper å få kontroll over domenekontrolleren (DC) i en bestemt
nettverkskonfigurasjon og kjør ekstern kode.
Ondsinnede aktører kan også utnytte
sårbarhet for å endre en servers sertifikattilordning for å utføre server
forfalskning.
Sårbarhet CVE-2022-30216,
som finnes i uoppdaterte Windows 11- og Windows Server 2022-maskiner, var
behandlet i julis Patch Tuesday, men en rapporterer
fra Akamai-forsker Ben Barnes, som oppdaget sårbarheten, tilbyr
tekniske detaljer om feilen.
Den fulle angrepsflyten gir full kontroll
over DC, dets tjenester og data.
Proof of Concept Exploit for fjernkontroll
Kodeutførelse
Sårbarheten ble funnet i SMB over QUIC,
en nettverksprotokoll for transportlag, som muliggjør kommunikasjon med
server. Den tillater tilkoblinger til nettverksressurser som filer, delinger og
skrivere. Legitimasjon er også eksponert basert på troen på at mottakeren
systemet kan stole på.
Feilen kan tillate en ondsinnet aktør autentisert
som domenebruker for å erstatte filer på SMB-serveren og betjene dem til
koble klienter, ifølge Akamai. I et proof of concept, forskere
utnyttet feilen til å stjele legitimasjon via autentiseringstvang.
Konkret setter de opp en NTLM
stafettangrep. Nå avviklet bruker NTLM en svak autentiseringsprotokoll som
kan enkelt avsløre legitimasjon og øktnøkler. I et stafettangrep, dårlige skuespillere
kan fange opp en autentisering og videresende den til en annen server - noe de kan
bruk deretter for å autentisere til den eksterne serveren med den kompromitterte brukerens
privilegier, som gir muligheten til å bevege seg sideveis og eskalere privilegier
innenfor et Active Directory-domene.
«Retningen vi valgte var å ta
fordelen med autentiseringstvang, sier sikkerhetsforskere fra Akamai
Ophir Harpaz sier. "Det spesifikke NTLM-reléangrepet vi valgte involverer
videresending av legitimasjonen til Active Directory CS-tjenesten, som er
ansvarlig for å administrere sertifikater i nettverket."
Når den sårbare funksjonen er kalt, vil
offeret sender umiddelbart tilbake nettverkslegitimasjon til en angriperkontrollert
maskin. Derfra kan angripere få full ekstern kjøring av kode (RCE) på
offermaskin, og etablerer en utskytningsrampe for flere andre former for angrep
herunder ransomware,
dataeksfiltrering og andre.
"Vi valgte å angripe Active Directory
domenekontroller, slik at RCE vil ha størst effekt, legger Harpaz til.
Akamais Ben Barnea påpeker med dette
tilfelle, og siden den sårbare tjenesten er en kjernetjeneste på alle Windows
maskin, er den ideelle anbefalingen å lappe det sårbare systemet.
"Det er ikke mulig å deaktivere tjenesten
løsning, sier han.
Serverspoofing fører til legitimasjon
Tyveri
Bud Broomhead, administrerende direktør i Viakoo, sier det
av negativ innvirkning på organisasjoner, er serverspoofing også mulig med dette
bug.
"Server-spoofing legger til flere trusler
til organisasjonen, inkludert mann-i-midten-angrep, dataeksfiltrering,
datatukling, ekstern kjøring av kode og andre utnyttelser,” legger han til.
Et vanlig eksempel på dette kan sees med
Internet of Things (IoT)-enheter knyttet til Windows-applikasjonsservere; for eksempel IP
kameraer alle koblet til en Windows-server som er vert for videoadministrasjonen
søknad.
"Ofte settes IoT-enheter opp ved hjelp av
samme passord; få tilgang til en, du har fått tilgang til dem alle,» han
sier. "Forfalskning av den serveren kan aktivere dataintegritetstrusler,
inkludert planting av deepfakes.»
Broomhead legger til at på et grunnleggende nivå, disse
utnyttelsesveier er eksempler på brudd på intern systemtillit – spesielt
ved autentiseringstvang.
Distribuert arbeidsstyrke utvider angrepet
overflaten
Mike Parkin, senior teknisk ingeniør ved
Vulcan Cyber, sier selv om det ikke ser ut til at dette problemet har vært ennå
utnyttet i naturen, en trussel aktør vellykket spoofing en legitim og
klarert server, eller å tvinge autentisering til en ikke-klarert, kan føre til en
en rekke problemer.
«Det er mange funksjoner som er det
basert på "tillits"-forholdet mellom server og klient og forfalskning av det
ville la en angriper utnytte noen av disse relasjonene,» bemerker han.
Parkin legger til at en distribuert arbeidsstyrke utvides
trusselflaten betraktelig, noe som gjør det mer utfordrende å ordentlig
kontrollere tilgang til protokoller som ikke skal sees utenfor organisasjonens
lokalmiljø.
Broomhead påpeker snarere enn angrepet
overflaten er pent inneholdt i datasentre, har distribuert arbeidsstyrke
utvidet også angrepsflaten fysisk og logisk.
«Få fotfeste i nettverket
er enklere med denne utvidede angrepsflaten, vanskeligere å eliminere og gir
potensial for spredning inn i hjemmet eller personlige nettverk til ansatte,»
han sier.
Fra hans perspektiv, opprettholde null tillit
eller minst privilegerte filosofier reduserer avhengigheten av legitimasjon og
virkningen av at legitimasjon blir stjålet.
Parkin legger til at redusere risikoen fra
angrep som dette krever å minimere trusseloverflaten, riktig internt
tilgangskontroller, og holde seg oppdatert på patcher i hele miljøet.
"Ingen av dem er et perfekt forsvar, men
de tjener til å redusere risikoen, sier han.
