Pesquisadores descobriram uma vulnerabilidade
nas chamadas de procedimento remoto (RPC) para o serviço do Windows Server, que podem
permitir que um invasor obtenha controle sobre o controlador de domínio (DC) em um
configuração de rede e executar código remoto.
Atores mal-intencionados também podem explorar o
vulnerabilidade para modificar o mapeamento de certificado de um servidor para executar
falsificação.
Vulnerabilidade CVE-2022-30216,
que existe em máquinas Windows 11 e Windows Server 2022 não corrigidas, foi
abordados na Patch Tuesday de julho, mas um Denunciar
do pesquisador da Akamai, Ben Barnes, que descobriu a vulnerabilidade, oferece
detalhes técnicos sobre o bug.
O fluxo de ataque completo fornece controle total
sobre o DC, seus serviços e dados.
Exploração de prova de conceito para controle remoto
Execução de Código
A vulnerabilidade foi encontrada em SMB sobre QUIC,
um protocolo de rede da camada de transporte, que permite a comunicação com o
servidor. Ele permite conexões com recursos de rede, como arquivos, compartilhamentos e
impressoras. As credenciais também são expostas com base na crença de que o destinatário
sistema pode ser confiável.
O bug pode permitir que um agente malicioso seja autenticado
como um usuário de domínio para substituir arquivos no servidor SMB e servi-los para
conectando clientes, de acordo com a Akamai. Em uma prova de conceito, os pesquisadores
explorou o bug para roubar credenciais por meio de coerção de autenticação.
Especificamente, eles criaram um NTLM
ataque de retransmissão. Agora obsoleto, o NTLM usa um protocolo de autenticação fraco que
pode facilmente revelar credenciais e chaves de sessão. Em um ataque de revezamento, os maus atores
podem capturar uma autenticação e retransmiti-la para outro servidor - que eles podem
então use para autenticar no servidor remoto com o usuário comprometido
privilégios, fornecendo a capacidade de mover-se lateralmente e escalar privilégios
dentro de um domínio do Active Directory.
“A direção que escolhemos foi levar
vantagem da coerção de autenticação”, pesquisadores de segurança da Akamai
Ophir Harpaz diz. “O ataque de retransmissão NTLM específico que escolhemos envolve
retransmitindo as credenciais para o serviço Active Directory CS, que é
responsável por gerenciar certificados na rede.”
Uma vez que a função vulnerável é chamada, o
a vítima imediatamente envia de volta as credenciais de rede para um invasor controlado
máquina. A partir daí, os invasores podem obter execução remota completa de código (RCE) no
máquina da vítima, estabelecendo uma plataforma de lançamento para várias outras formas de ataque
incluam ransomware,
exfiltração de dados e outros.
“Escolhemos atacar o Active Directory
controlador de domínio, de modo que o RCE será mais impactante”, acrescenta Harpaz.
Ben Barnea, da Akamai, aponta com isso
caso, e como o serviço vulnerável é um serviço principal em todos os Windows
máquina, a recomendação ideal é corrigir o sistema vulnerável.
“Desativar o serviço não é viável
solução alternativa”, diz ele.
A falsificação do servidor leva à credencial
Roubo
Bud Broomhead, CEO da Viakoo, diz em termos
de impacto negativo para as organizações, a falsificação de servidor também é possível com isso
bug.
“A falsificação de servidor adiciona ameaças adicionais
para a organização, incluindo ataques man-in-the-middle, exfiltração de dados,
adulteração de dados, execução remota de código e outras explorações”, acrescenta.
Um exemplo comum disso pode ser visto com
Dispositivos de Internet das Coisas (IoT) vinculados a servidores de aplicativos do Windows; por exemplo, IP
câmeras todas conectadas a um servidor Windows que hospeda o gerenciamento de vídeo
aplicação.
“Muitas vezes, os dispositivos IoT são configurados usando o
mesmas senhas; tenha acesso a um, você terá acesso a todos eles,” ele
diz. “A falsificação desse servidor pode permitir ameaças à integridade dos dados,
incluindo o plantio de deepfakes”.
Broomhead acrescenta que, em um nível básico, essas
caminhos de exploração são exemplos de quebra de confiança do sistema interno - especialmente
no caso de coerção de autenticação.
Força de trabalho distribuída amplia ataque
superfície
Mike Parkin, engenheiro técnico sênior da
Vulcan Cyber, diz que embora não pareça que esse problema já foi
aproveitado na natureza, um ator de ameaça falsificando com sucesso um legítimo e
servidor confiável, ou forçar a autenticação para um não confiável, pode causar um
série de problemas.
“Existem muitas funções
baseado na relação de 'confiança' entre servidor e cliente e falsificação que
permitiria que um invasor aproveitasse qualquer um desses relacionamentos”, observa ele.
Parkin adiciona uma força de trabalho distribuída amplia
a superfície da ameaça consideravelmente, o que torna mais difícil
controlar o acesso a protocolos que não devem ser vistos fora da organização
ambiente local.
Broomhead aponta em vez do ataque
superfície sendo contida ordenadamente em centros de dados, as forças de trabalho distribuídas
também expandiu a superfície de ataque fisicamente e logicamente.
“Ganhar uma posição dentro da rede
é mais fácil com esta superfície de ataque expandida, mais difícil de eliminar e fornece
potencial de transbordamento para as redes domésticas ou pessoais dos funcionários”,
, diz ele.
De sua perspectiva, manter a confiança zero
ou filosofias menos privilegiadas reduz a dependência de credenciais e o
impacto do roubo de credenciais.
Parkin acrescenta que reduzir o risco de
ataques como este requerem minimizar a superfície da ameaça,
controles de acesso e atualização de patches em todo o ambiente.
“Nenhuma delas é uma defesa perfeita, mas
eles servem para reduzir o risco”, diz ele.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
