Luka w systemie Windows może złamać poświadczenia serwera DC, aby otworzyć

Naukowcy odkryli lukę w zabezpieczeniach
w zdalnych wywołaniach procedur (RPC) dla usługi Windows Server, które mogłyby
pozwolić atakującemu na przejęcie kontroli nad kontrolerem domeny (DC) w konkretnym przypadku
konfigurację sieci i wykonać zdalny kod.

Złośliwi aktorzy mogą również wykorzystywać plik
luka w zabezpieczeniach umożliwiająca modyfikację mapowania certyfikatu serwera w celu wykonania serwera
fałszowanie.

Wrażliwość CVE-2022-30216,
który istnieje w niezałatanych maszynach z Windows 11 i Windows Server 2022, był
omówione w lipcowym Patch Tuesday, ale a raport
od badacza Akamai, Bena Barnesa, który odkrył tę lukę
szczegóły techniczne błędu.

Pełny przepływ ataku zapewnia pełną kontrolę
przez DC, jego usługi i dane.

Exploit weryfikacji koncepcji dla Remote
Wykonanie kodu

Luka została odkryta w SMB przez QUIC,
protokół sieciowy warstwy transportowej, który umożliwia komunikację z
serwer. Umożliwia połączenia z zasobami sieciowymi, takimi jak pliki, udziały i
drukarki. Poświadczenia są również ujawniane na podstawie przekonania, że ​​odbiorca
systemowi można zaufać.

Błąd może umożliwić uwierzytelnienie złośliwego aktora
jako użytkownik domeny do zastępowania plików na serwerze SMB i udostępniania ich
łączenia klientów, według Akamai. W dowodzie koncepcji, badacze
wykorzystał błąd do kradzieży danych uwierzytelniających poprzez wymuszenie uwierzytelnienia.

W szczególności założyli NTLM
atak sztafetowy. Teraz przestarzały, NTLM używa słabego protokołu uwierzytelniania, który
może łatwo ujawnić poświadczenia i klucze sesji. W ataku sztafetowym źli aktorzy
mogą przechwycić uwierzytelnienie i przekazać je do innego serwera — co jest możliwe
następnie użyj do uwierzytelnienia na zdalnym serwerze za pomocą skompromitowanego użytkownika
przywilejów, zapewniając możliwość poruszania się w bok i zwiększania uprawnień
w domenie Active Directory.

„Kierunek, który wybraliśmy, to obrać
korzyści wynikające z przymusu uwierzytelniania”, badacze bezpieczeństwa Akamai
mówi Ofir Harpaz. „Konkretny atak przekaźnika NTLM, który wybraliśmy, obejmuje
przekazywanie poświadczeń do usługi Active Directory CS, tj
odpowiedzialny za zarządzanie certyfikatami w sieci.”

Po wywołaniu podatnej funkcji funkcja
ofiara natychmiast odsyła dane uwierzytelniające do sieci kontrolowanej przez atakującego
maszyna. Stamtąd osoby atakujące mogą uzyskać pełne zdalne wykonanie kodu (RCE) na serwerze
maszynę ofiary, tworząc platformę startową dla kilku innych form ataku
włącznie z ransomware,
eksfiltracja danych i inne.

„Zdecydowaliśmy się zaatakować usługę Active Directory
kontrolera domeny, tak aby RCE miał największy wpływ” — dodaje Harpaz.

Zwraca na to uwagę Ben Barnea z Akamai
przypadku, a ponieważ podatna na ataki usługa jest usługą podstawową w każdym systemie Windows
maszynie, idealnym zaleceniem jest załatanie podatnego systemu.

„Wyłączenie usługi nie jest możliwe
obejście” – mówi.

Fałszowanie serwerów prowadzi do poświadczeń
Kradzież

Bud Broomhead, dyrektor generalny Viakoo, mówi w kategoriach
negatywnego wpływu na organizacje, możliwe jest również fałszowanie serwerów
bug.

„Podszywanie się pod serwery dodaje dodatkowe zagrożenia
do organizacji, w tym ataki typu man-in-the-middle, eksfiltracja danych,
manipulowanie danymi, zdalne wykonanie kodu i inne exploity” – dodaje.

Typowy przykład tego można zobaczyć za pomocą
Urządzenia Internetu rzeczy (IoT) powiązane z serwerami aplikacji Windows; np. IP
kamer podłączonych do serwera Windows obsługującego zarządzanie wideo
aplikacji.

„Często urządzenia IoT są konfigurowane przy użyciu
te same hasła; uzyskałeś dostęp do jednego, uzyskałeś dostęp do wszystkich” – powiedział
mówi. „Podszywanie się pod ten serwer może stwarzać zagrożenia dla integralności danych,
w tym umieszczanie deepfake’ów”.

Broomhead dodaje, że na podstawowym poziomie te
ścieżki eksploatacji są przykładami naruszenia wewnętrznego zaufania do systemu — w szczególności
w przypadku wymuszenia uwierzytelnienia.

Rozproszona siła robocza rozszerza atak
Powierzchnia

Mike Parkin, starszy inżynier techniczny w
Vulcan Cyber, mówi, chociaż nie wydaje się, aby ten problem był
wykorzystywany w środowisku naturalnym, cyberprzestępca z powodzeniem podszywa się pod legalną i
zaufanego serwera lub wymuszenie uwierzytelnienia na niezaufanym serwerze może spowodować błąd
masa problemów.

„Istnieje wiele funkcji, które są
w oparciu o relację „zaufania” między serwerem a klientem i podszywanie się pod nią
pozwoliłoby atakującemu wykorzystać którąkolwiek z tych relacji” — zauważa.

Parkin dodaje rozproszoną siłę roboczą
znacznie zwiększa powierzchnię zagrożenia, co sprawia, że ​​jest to trudniejsze do prawidłowego wykonania
kontrolować dostęp do protokołów, które nie powinny być widoczne poza organizacją
lokalne środowisko.

Broomhead wskazuje raczej niż na atak
powierzchnia jest starannie umieszczona w centrach danych, rozproszona siła robocza
rozszerzył również powierzchnię ataku fizycznie i logicznie.

„Zdobycie przyczółka w sieci
jest łatwiejszy dzięki tej rozszerzonej powierzchni ataku, trudniejszy do wyeliminowania i zapewnia
możliwość rozprzestrzenienia się na domowe lub osobiste sieci pracowników”
on mówi.

Z jego perspektywy utrzymywanie zerowego zaufania
lub najmniej uprzywilejowane filozofie zmniejszają zależność od referencji i
skutki kradzieży poświadczeń.

Parkin dodaje, że zmniejszenie ryzyka z
ataki takie jak ten wymagają minimalizacji powierzchni zagrożenia, odpowiedniej wewnętrznej
kontroli dostępu i aktualizowania poprawek w całym środowisku.

„Żaden z nich nie jest idealną obroną, ale
służą zmniejszeniu ryzyka” – mówi.