Raziskovalci so odkrili ranljivost
v klicih oddaljenih postopkov (RPC) za storitev Windows Server, ki bi lahko
omogočijo napadalcu, da pridobi nadzor nad krmilnikom domene (DC) v določenem
konfiguracijo omrežja in izvajanje kode na daljavo.
Zlonamerni akterji bi lahko tudi izkoristili
ranljivost za spreminjanje preslikave potrdila strežnika za izvajanje strežnika
ponarejanje.
Ranljivost CVE-2022-30216,
ki obstaja v nepopravljenih strojih Windows 11 in Windows Server 2022, je bil
naslovljen v julijskem Patch Tuesday, vendar a poročilo
od raziskovalca Akamaija Bena Barnesa, ki je odkril ranljivost, ponuja
tehnične podrobnosti o napaki.
Popoln tok napada zagotavlja popoln nadzor
prek DC, njegovih storitev in podatkov.
Proof of Concept Exploit for Remote
Izvajanje kode
Ranljivost je bila najdena v SMB nad QUIC,
omrežni protokol transportne plasti, ki omogoča komunikacijo z
strežnik. Omogoča povezave z omrežnimi viri, kot so datoteke, skupne rabe in
tiskalniki. Poverilnice so izpostavljene tudi na podlagi prepričanja, da prejemanje
sistemu je mogoče zaupati.
Napaka bi lahko omogočila preverjanje pristnosti zlonamernega akterja
kot uporabnik domene zamenjati datoteke na strežniku SMB in jih servirati
povezovanje strank, glede na Akamai. V dokaz koncepta, raziskovalci
izkoristil hrošč za krajo poverilnic s prisilno avtentikacijo.
Natančneje, ustanovili so NTLM
štafetni napad. Zdaj zastarel NTLM uporablja šibak protokol za preverjanje pristnosti, ki
zlahka razkrije poverilnice in ključe seje. V štafetnem napadu slabi akterji
lahko zajamejo avtentikacijo in jo posredujejo drugemu strežniku – kar lahko
nato uporabite za preverjanje pristnosti na oddaljenem strežniku z ogroženim uporabnikom
privilegije, ki zagotavljajo možnost bočnega premikanja in stopnjevanja privilegijev
znotraj domene Active Directory.
»Smer, ki smo jo izbrali, je bila
prednost prisilne avtentikacije,« varnostni raziskovalci Akamai
Ophir Harpaz pravi. »Posebni relejni napad NTLM, ki smo ga izbrali, vključuje
posredovanje poverilnic storitvi Active Directory CS, ki je
odgovoren za upravljanje certifikatov v omrežju.”
Ko je ranljiva funkcija priklicana, je
žrtev takoj pošlje nazaj omrežne poverilnice napadalcu
stroj. Od tam lahko napadalci pridobijo popolno oddaljeno izvajanje kode (RCE) na
žrtev stroj, s čimer se vzpostavi izstrelišče za več drugih oblik napada
Z izsiljevalska,
ekstrakcija podatkov in drugo.
»Odločili smo se za napad na Active Directory
krmilnik domene, tako da bo RCE najučinkovitejši,« dodaja Harpaz.
Akamaijev Ben Barnea s tem poudarja
in ker je ranljiva storitev osrednja storitev v vsakem sistemu Windows
stroj, je idealno priporočilo, da popravite ranljivi sistem.
»Onemogočanje storitve ni izvedljivo
rešitev,« pravi.
Prevara strežnika vodi do poverilnice
Kraja
Bud Broomhead, izvršni direktor podjetja Viakoo, pravi v smislu
negativnega vpliva na organizacije, je s tem možno tudi ponarejanje strežnika
napaka.
»Ponarejanje strežnika dodaja dodatne grožnje
na organizacijo, vključno z napadi človeka v sredini, iztiskanjem podatkov,
poseganje v podatke, oddaljeno izvajanje kode in druga zloraba,« dodaja.
Pogost primer tega je mogoče videti z
Naprave interneta stvari (IoT), povezane z aplikacijskimi strežniki Windows; npr. IP
kamere, vse povezane s strežnikom Windows, ki gosti upravljanje videa
aplikacija.
»Naprave interneta stvari so pogosto nastavljene z uporabo
enaka gesla; če pridobite dostop do enega, imate dostop do vseh,« je dejal
pravi. »Ponarejanje tega strežnika lahko povzroči grožnje celovitosti podatkov,
vključno z nameščanjem globokih ponaredkov.«
Broomhead dodaja, da na osnovni ravni te
poti izkoriščanja so primeri kršenja zaupanja notranjega sistema – še posebej
v primeru avtentikacijske prisile.
Porazdeljena delovna sila širi napad
Površina
Mike Parkin, višji tehnični inženir pri
Vulcan Cyber pravi, čeprav se zdi, da ta težava še ni bila
vzvod v divjini, akter grožnje, ki uspešno ponaredi zakonito in
zaupanja vreden strežnik ali vsiljevanje preverjanja pristnosti nezaupljivemu lahko povzroči a
množico težav.
»Obstaja veliko funkcij
ki temelji na razmerju 'zaupanja' med strežnikom in odjemalcem ter ponarejanju tega
bi napadalcu dovolil, da izkoristi katero koli od teh razmerij,« ugotavlja.
Parkin dodaja, da se porazdeljena delovna sila širi
površina grožnje precejšnja, zaradi česar je težje pravilno
nadzor dostopa do protokolov, ki ne bi smeli biti vidni zunaj organizacije
lokalno okolje.
Broomhead poudarja in ne napada
površina, ki je lepo shranjena v podatkovnih centrih, ima porazdeljena delovna sila
tudi fizično in logično razširil napadalno površino.
»Uveljaviti se v omrežju
je lažji s to razširjeno napadalno površino, težje ga je odpraviti in zagotavlja
možnost prelivanja v domača ali osebna omrežja zaposlenih,«
on reče.
Z njegovega vidika ohranjanje ničelnega zaupanja
ali najmanj privilegiranih filozofij zmanjšuje odvisnost od poverilnic in
vpliv kraje poverilnic.
Parkin dodaja, da je zmanjšanje tveganja za
napadi, kot je ta, zahtevajo zmanjšanje površine grožnje, pravilno notranje
nadzor dostopa in posodabljanje popravkov v celotnem okolju.
»Nobeden od njih ni popolna obramba, ampak
služijo za zmanjšanje tveganja,« pravi.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
