Vulnerabilitatea Windows ar putea sparge acreditările serverului DC deschise

Cercetătorii au descoperit o vulnerabilitate
în apelurile de procedură la distanță (RPC) pentru serviciul Windows Server, care ar putea
permite unui atacator să obțină controlul asupra controlerului de domeniu (DC) într-un anumit
configurarea rețelei și executarea codului de la distanță.

Actorii rău intenționați ar putea, de asemenea, exploata
vulnerabilitate de a modifica maparea certificatului unui server pentru a efectua server
falsificarea.

Vulnerabilitate CVE-2022-30216,
care există în mașinile Windows 11 și Windows Server 2022 nepatchate, a fost
abordată în Patch-ul de marți din iulie, dar a raportează
de la Akamai cercetătorul Ben Barnes, care a descoperit vulnerabilitatea, oferă
detalii tehnice despre bug.

Fluxul complet de atac oferă control total
peste DC, serviciile sale și datele.

Exploit Dovada conceptului pentru telecomandă
Executarea codului

Vulnerabilitatea a fost găsită în SMB prin QUIC,
un protocol de rețea de nivel de transport, care permite comunicarea cu
Server. Permite conexiuni la resurse de rețea, cum ar fi fișiere, partajări și
imprimante. Acreditările sunt, de asemenea, expuse pe baza credinței că primirea
sistemul poate fi de încredere.

Bug-ul ar putea permite autentificarea unui actor rău intenționat
ca utilizator de domeniu pentru a înlocui fișierele de pe serverul SMB și pentru a le servi
conectarea clienților, conform Akamai. Într-o dovadă de concept, cercetători
a exploatat eroarea pentru a fura acreditările prin constrângere de autentificare.

Mai exact, au înființat un NTLM
atac de ștafetă. Acum depreciat, NTLM folosește un protocol de autentificare slab care
poate dezvălui cu ușurință acreditările și cheile de sesiune. Într-un atac de ștafetă, actori răi
pot captura o autentificare și o pot transmite către un alt server - ceea ce o pot face
apoi utilizați pentru a vă autentifica pe serverul de la distanță cu cel al utilizatorului compromis
privilegii, oferind capacitatea de a vă deplasa lateral și de a escalada privilegiile
într-un domeniu Active Directory.

„Direcția pe care am ales-o a fost să o luăm
avantajul constrângerii de autentificare”, cercetătorii de securitate Akamai
spune Ophir Harpaz. „Atacul specific NTLM releu pe care l-am ales implică
transmiterea acreditărilor către serviciul Active Directory CS, adică
responsabil cu gestionarea certificatelor în rețea.”

Odată ce funcția vulnerabilă este numită,
victima trimite imediat înapoi acreditările de rețea unui atacator controlat
mașinărie. De acolo, atacatorii pot obține execuția completă a codului de la distanță (RCE) pe
mașină victimă, creând o rampă de lansare pentru alte câteva forme de atac
inclusiv Ransomware,
exfiltrarea datelor și altele.

„Am ales să atacăm Active Directory
controler de domeniu, astfel încât RCE va avea cel mai mare impact”, adaugă Harpaz.

Ben Barnea de la Akamai subliniază acest lucru
caz, și deoarece serviciul vulnerabil este un serviciu de bază pentru fiecare Windows
mașină, recomandarea ideală este să corectați sistemul vulnerabil.

„Dezactivarea serviciului nu este fezabilă
soluție”, spune el.

Falsificarea serverului duce la acreditări
Furt

Bud Broomhead, CEO la Viakoo, spune în termeni
de impact negativ asupra organizațiilor, falsificarea serverelor este posibilă și cu aceasta
gândac.

„Server-spoofing adaugă amenințări suplimentare
către organizație, inclusiv atacuri de tip man-in-the-middle, exfiltrarea datelor,
falsificarea datelor, execuția de cod de la distanță și alte exploit-uri”, adaugă el.

Un exemplu comun în acest sens poate fi văzut cu
Dispozitive Internet of Things (IoT) legate de serverele de aplicații Windows; de exemplu, IP
camerele toate conectate la un server Windows care găzduiește managementul video
aplicație.

„Adesea dispozitivele IoT sunt configurate folosind
aceleași parole; obțineți acces la unul, ați obținut acces la toate”, el
spune. „Spoofing-ul acelui server poate activa amenințări la integritatea datelor,
inclusiv plantarea de deepfake.”

Broomhead adaugă că, la un nivel de bază, acestea
căile de exploatare sunt exemple de încălcare a încrederii sistemului intern – în special
în cazul constrângerii de autentificare.

Forța de muncă distribuită extinde atacul
Suprafață

Mike Parkin, inginer tehnic superior la
Vulcan Cyber, spune deși nu pare că această problemă a fost încă
exploatat în sălbăticie, un actor de amenințare care falsifică cu succes un legitim și
server de încredere sau forțarea autentificării la unul care nu are încredere, ar putea cauza a
multitudine de probleme.

„Există o mulțime de funcții care sunt
bazat pe relația de „încredere” dintre server și client și falsificarea acesteia
ar lăsa un atacator să folosească oricare dintre aceste relații”, notează el.

Parkin adaugă o forță de muncă distribuită se extinde
suprafața amenințării în mod considerabil, ceea ce o face mai dificil să fie corect
controlează accesul la protocoale care nu ar trebui să fie văzute în afara organizației
mediul local.

Broomhead subliniază mai degrabă decât atacul
suprafața fiind cuprinsă ordonat în centrele de date, forța de muncă distribuită au
de asemenea, a extins suprafața de atac fizic și logic.

„Castigarea unui punct de sprijin în cadrul rețelei
este mai ușor cu această suprafață de atac extinsă, mai greu de eliminat și oferă
potențial de răspândire în rețelele de acasă sau personale ale angajaților.”
el spune.

Din perspectiva lui, păstrând încrederea zero
sau filozofiile cel mai puțin privilegiate reduce dependența de acreditări și
impactul furtului de acreditări.

Parkin adaugă că reducerea riscului de
astfel de atacuri necesită minimizarea suprafeței de amenințare, intern adecvat
controale de acces și menținerea la curent cu patch-urile din mediul înconjurător.

„Niciunul dintre ei nu este o apărare perfectă, dar
ele servesc la reducerea riscului”, spune el.