Forskare har upptäckt en sårbarhet
i fjärrproceduren anrop (RPC) för Windows Server-tjänsten, vilket kan
tillåta en angripare att få kontroll över domänkontrollanten (DC) i en specifik
nätverkskonfiguration och exekvera fjärrkod.
Skadliga aktörer kan också utnyttja
sårbarhet för att ändra en servers certifikatmappning för att utföra server
spoofing.
Sårbarhet CVE-2022-30216,
som finns i oparpade Windows 11- och Windows Server 2022-maskiner, var
behandlas i julis Patch Tuesday, men en rapport
från Akamai-forskaren Ben Barnes, som upptäckte sårbarheten, erbjuder
tekniska detaljer om felet.
Det fulla attackflödet ger full kontroll
över DC, dess tjänster och data.
Proof of Concept Exploit för fjärrkontroll
Kodutförande
Sårbarheten hittades i SMB över QUIC,
ett nätverksprotokoll för transportlager, som möjliggör kommunikation med
server. Det tillåter anslutningar till nätverksresurser som filer, resurser och
skrivare. Inloggningsuppgifter exponeras också baserat på tro att den mottagande
systemet kan lita på.
Felet kan tillåta att en illvillig skådespelare autentiseras
som domänanvändare för att ersätta filer på SMB-servern och servera dem till
ansluta kunder, enligt Akamai. I ett proof of concept, forskare
utnyttjade felet för att stjäla autentiseringsuppgifter via autentiseringstvång.
Specifikt sätter de upp en NTLM
reläattack. Nu utfasad, NTLM använder ett svagt autentiseringsprotokoll som
kan enkelt avslöja autentiseringsuppgifter och sessionsnycklar. I en stafettattack, dåliga skådespelare
kan fånga en autentisering och vidarebefordra den till en annan server – vilket de kan
använd sedan för att autentisera till fjärrservern med den komprometterade användarens
privilegier, vilket ger möjlighet att röra sig i sidled och eskalera privilegier
inom en Active Directory-domän.
– Den riktning vi valde var att ta
fördelen med autentiseringstvånget, säger Akamais säkerhetsforskare
säger Ophir Harpaz. "Den specifika NTLM-reläattacken vi valde involverar
vidarebefordra referenserna till Active Directory CS-tjänsten, dvs
ansvarig för att hantera certifikat i nätverket.”
När den sårbara funktionen anropas,
offer skickar omedelbart tillbaka nätverksuppgifter till en angriparkontrollerad
maskin. Därifrån kan angripare få fullständig fjärrkodexekvering (RCE) på
offermaskin, som etablerar en startramp för flera andra former av attacker
Inklusive Ransomware,
dataexfiltrering och andra.
"Vi valde att attackera Active Directory
domänkontrollant, så att RCE kommer att ha störst effekt”, tillägger Harpaz.
Akamais Ben Barnea påpekar med detta
fall, och eftersom den sårbara tjänsten är en kärntjänst på alla Windows
maskin, är den idealiska rekommendationen att patcha det sårbara systemet.
"Att inaktivera tjänsten är inte möjligt
lösning, säger han.
Serverspoofing leder till autentiseringsuppgifter
Stöld
Bud Broomhead, VD på Viakoo, säger i termer
av negativ inverkan på organisationer är serverspoofing också möjligt med detta
insekt.
"Serverförfalskning lägger till ytterligare hot
till organisationen, inklusive man-in-the-middle-attacker, dataexfiltrering,
datamanipulering, fjärrexekvering av kod och andra utnyttjande,” tillägger han.
Ett vanligt exempel på detta kan ses med
Internet of Things (IoT)-enheter kopplade till Windows-applikationsservrar; t.ex. IP
kameror alla anslutna till en Windows-server som är värd för videohantering
ansökan.
"Ofta konfigureras IoT-enheter med hjälp av
samma lösenord; få tillgång till en, du har fått tillgång till dem alla”, han
säger. "Förfalskning av den servern kan möjliggöra dataintegritetshot,
inklusive plantering av deepfakes."
Broomhead tillägger att på en grundläggande nivå, dessa
Exploateringsvägar är exempel på brott mot det interna systemets förtroende – särskilt
vid autentiseringstvång.
Distribuerad arbetsstyrka breddar attacken
yta
Mike Parkin, senior teknisk ingenjör på
Vulcan Cyber, säger även om det inte verkar som att det här problemet har varit ännu
utnyttjas i det vilda, ett hot skådespelare framgångsrikt spoofing en legitim och
pålitlig server, eller tvingande av autentisering till en opålitlig, kan orsaka en
mängd problem.
”Det finns många funktioner som är det
baserat på "förtroende"-relationen mellan server och klient och spoofing som
skulle låta en angripare utnyttja någon av dessa relationer”, konstaterar han.
Parkin lägger till en fördelad arbetsstyrka breddar
hotytan avsevärt, vilket gör det mer utmanande att ordentligt
kontrollera åtkomst till protokoll som inte ska ses utanför organisationens
lokal miljö.
Broomhead pekar ut snarare än attacken
yta som prydligt finns i datacenter, har distribuerad arbetskraft
utökade också attackytan fysiskt och logiskt.
”Att få fotfäste inom nätverket
är lättare med denna utökade attackyta, svårare att eliminera och ger
potential för spridning till anställdas hem eller personliga nätverk."
han säger.
Ur hans perspektiv, upprätthålla noll förtroende
eller minst privilegierade filosofier minskar beroendet av meriter och
effekterna av att meriter blir stulna.
Parkin tillägger att minska risken från
attacker som denna kräver minimering av hotytan, korrekt internt
åtkomstkontroller och hålla sig uppdaterad om patchar i hela miljön.
"Ingen av dem är ett perfekt försvar, men
de tjänar till att minska risken, säger han.
