Уязвимость Windows может привести к взлому учетных данных DC Server

Исследователи обнаружили уязвимость
в удаленных вызовах процедур (RPC) для службы Windows Server, что может
позволяют злоумышленнику получить контроль над контроллером домена (DC) в определенном
настройка сети и выполнение удаленного кода.

Злоумышленники также могут использовать
уязвимость для изменения сопоставления сертификата сервера для выполнения сервера
спуфинг.

Уязвимость CVE-2022-30216,
который существует на неисправленных компьютерах с Windows 11 и Windows Server 2022, был
рассмотрено во вторник июльских исправлений, но отчету
от исследователя Akamai Бена Барнса, обнаружившего уязвимость, предлагает
технические подробности об ошибке.

Полный поток атаки обеспечивает полный контроль
над контроллером домена, его службами и данными.

Доказательство концепции эксплойта для Remote
Выполнение кода

Уязвимость была обнаружена в SMB через QUIC,
сетевой протокол транспортного уровня, который обеспечивает связь с
сервер. Он позволяет подключаться к сетевым ресурсам, таким как файлы, общие ресурсы и
принтеры. Учетные данные также раскрываются на основании убеждения, что получатель
системе можно доверять.

Ошибка может позволить злоумышленнику аутентифицироваться
как пользователь домена, чтобы заменять файлы на сервере SMB и обслуживать их
подключение клиентов, согласно Akamai. В доказательство концепции исследователи
использовал ошибку для кражи учетных данных с помощью принудительной аутентификации.

В частности, они создали NTLM
релейная атака. В настоящее время NTLM считается устаревшим. Он использует слабый протокол аутентификации, который
может легко раскрывать учетные данные и сеансовые ключи. В эстафетной атаке плохие актеры
могут захватить аутентификацию и передать ее на другой сервер, который они могут
затем используйте для аутентификации на удаленном сервере с скомпрометированным пользователем
привилегии, предоставляя возможность перемещаться в горизонтальном направлении и повышать привилегии
внутри домена Active Directory.

«Направление, которое мы выбрали, было
преимущества принудительной аутентификации», — исследователи безопасности Akamai.
— говорит Офир Харпаз. «Конкретная атака ретрансляции NTLM, которую мы выбрали, включает
передача учетных данных службе Active Directory CS, которая
отвечает за управление сертификатами в сети».

После вызова уязвимой функции
жертва немедленно отправляет обратно сетевые учетные данные на контролируемый злоумышленником
машина. Оттуда злоумышленники могут получить полное удаленное выполнение кода (RCE) на
машина-жертва, устанавливающая стартовую площадку для нескольких других форм атаки
включая вымогателей,
эксфильтрация данных и другие.

«Мы решили атаковать Active Directory
контроллер домена, так что RCE будет наиболее эффективным», — добавляет Харпаз.

На это указывает Бен Барнеа из Akamai.
случае, и поскольку уязвимая служба является основной службой в каждой системе Windows
машине, идеальной рекомендацией будет установить патч для уязвимой системы.

«Отключение службы нецелесообразно
обходной путь», — говорит он.

Спуфинг сервера ведет к учетным данным
Кража

Бад Брумхед, генеральный директор Viakoo, говорит в терминах
негативного воздействия на организации, при этом также возможен спуфинг серверов.
ошибка.

«Спуфинг сервера добавляет дополнительные угрозы
организации, включая атаки «человек посередине», кражу данных,
фальсификация данных, удаленное выполнение кода и другие эксплойты», — добавляет он.

Обычный пример этого можно увидеть с
устройства Интернета вещей (IoT), привязанные к серверам приложений Windows; например, ИП
все камеры подключены к серверу Windows, на котором размещена система управления видео
Приложение.

«Часто устройства IoT настраиваются с помощью
одинаковые пароли; Получив доступ к одному, вы получили доступ ко всем, — сказал он.
говорит. «Подмена этого сервера может привести к угрозе целостности данных,
включая внедрение дипфейков».

Брумхед добавляет, что на базовом уровне эти
пути эксплуатации являются примерами нарушения доверия к внутренней системе, особенно
в случае принудительной аутентификации.

Распределенная рабочая сила расширяет возможности атаки
Поверхность

Майк Паркин, старший технический инженер в
Vulcan Cyber ​​говорит, что пока не видно, что эта проблема еще не решена.
используется в дикой природе, субъект угрозы успешно подделывает законный и
доверенный сервер или принудительная проверка подлинности на ненадежном сервере может привести к
масса проблем.

«Есть много функций, которые
на основе «доверительных» отношений между сервером и клиентом и спуфинга этого
позволит злоумышленнику использовать любое из этих отношений», — отмечает он.

Паркин добавляет, что распределенная рабочая сила расширяется
поверхность угрозы значительно усложняется, что затрудняет надлежащее
контролировать доступ к протоколам, которые не должны быть видны за пределами организации
местная среда.

Метла указывает, а не атакует
поверхность аккуратно содержится в центрах обработки данных, распределенная рабочая сила имеет
также расширил поверхность атаки физически и логически.

«Закрепиться в сети
легче с этой расширенной поверхностью атаки, сложнее устранить и обеспечивает
возможность распространения на домашние или личные сети сотрудников»,
говорит он.

С его точки зрения, поддержание нулевого доверия
или наименее привилегированные философии уменьшают зависимость от учетных данных и
последствия кражи учетных данных.

Паркин добавляет, что снижение риска от
подобные атаки требуют минимизации поверхности угрозы, надлежащего внутреннего
управление доступом и своевременное обновление исправлений во всей среде.

«Ни один из них не является идеальной защитой, но
они служат для снижения риска», — говорит он.