นักวิจัยได้ค้นพบช่องโหว่
ในการเรียกขั้นตอนระยะไกล (RPC) สำหรับบริการ Windows Server ซึ่งสามารถทำได้
อนุญาตให้ผู้โจมตีเข้าควบคุมตัวควบคุมโดเมน (DC) ในแบบเฉพาะเจาะจง
การกำหนดค่าเครือข่ายและเรียกใช้รหัสระยะไกล
ผู้ประสงค์ร้ายยังสามารถใช้ประโยชน์จาก
ช่องโหว่ในการแก้ไขการแมปใบรับรองของเซิร์ฟเวอร์เพื่อดำเนินการเซิร์ฟเวอร์
การปลอมแปลง
ความอ่อนแอ CVE-2022-30216,
ซึ่งมีอยู่ในเครื่อง Windows 11 และ Windows Server 2022 ที่ยังไม่ได้แพตช์
กล่าวถึงใน Patch Tuesday ของเดือนกรกฎาคม แต่ก รายงาน
จาก Ben Barnes นักวิจัยของ Akamai ผู้ค้นพบช่องโหว่ได้เสนอ
รายละเอียดทางเทคนิคเกี่ยวกับจุดบกพร่อง
การไหลของการโจมตีเต็มรูปแบบให้การควบคุมอย่างเต็มที่
เหนือ DC บริการ และข้อมูล
หลักฐานการใช้ประโยชน์จากแนวคิดสำหรับระยะไกล
การรันโค้ด
พบช่องโหว่ใน SMB ผ่าน QUIC
โปรโตคอลเครือข่ายเลเยอร์การขนส่งซึ่งช่วยให้สามารถสื่อสารกับ
เซิร์ฟเวอร์ อนุญาตให้เชื่อมต่อกับทรัพยากรเครือข่าย เช่น ไฟล์ แชร์ และ
เครื่องพิมพ์ ข้อมูลรับรองยังเปิดเผยตามความเชื่อที่ได้รับ
ระบบสามารถเชื่อถือได้
ข้อบกพร่องอาจทำให้นักแสดงที่เป็นอันตรายได้รับการตรวจสอบสิทธิ์
ในฐานะผู้ใช้โดเมนเพื่อแทนที่ไฟล์บนเซิร์ฟเวอร์ SMB และให้บริการ
เชื่อมโยงลูกค้าตามที่ Akamai กล่าว ในการพิสูจน์แนวคิดนักวิจัย
ใช้ประโยชน์จากบั๊กเพื่อขโมยข้อมูลรับรองผ่านการบังคับตรวจสอบสิทธิ์
โดยเฉพาะอย่างยิ่งพวกเขาตั้งค่า NTLM
การโจมตีรีเลย์. เลิกใช้แล้ว NTLM ใช้โปรโตคอลการตรวจสอบสิทธิ์ที่อ่อนแอ
สามารถเปิดเผยข้อมูลประจำตัวและคีย์เซสชันได้อย่างง่ายดาย ในการถ่ายทอดการโจมตีนักแสดงที่ไม่ดี
สามารถบันทึกการยืนยันตัวตนและส่งต่อไปยังเซิร์ฟเวอร์อื่น — ซึ่งสามารถทำได้
จากนั้นใช้เพื่อตรวจสอบกับเซิร์ฟเวอร์ระยะไกลกับผู้ใช้ที่ถูกบุกรุก
สิทธิ์ ให้ความสามารถในการย้ายด้านข้างและเพิ่มสิทธิ์
ภายในโดเมน Active Directory
“ทิศทางที่เราเลือกคือไป
ข้อได้เปรียบของการบังคับตรวจสอบสิทธิ์” นักวิจัยด้านความปลอดภัยของ Akamai
Ophir Harpaz กล่าวว่า “การโจมตีด้วยรีเลย์ NTLM เฉพาะที่เราเลือกนั้นเกี่ยวข้องกับ
ถ่ายทอดข้อมูลรับรองไปยังบริการ Active Directory CS ซึ่งก็คือ
รับผิดชอบในการจัดการใบรับรองในเครือข่าย”
เมื่อเรียกใช้ฟังก์ชันที่มีช่องโหว่แล้ว
เหยื่อส่งข้อมูลประจำตัวของเครือข่ายกลับไปยังผู้โจมตีที่ควบคุมทันที
เครื่องจักร. จากนั้น ผู้โจมตีจะได้รับการดำเนินการโค้ดจากระยะไกล (RCE) อย่างเต็มรูปแบบบน
เครื่องจักรของเหยื่อ สร้างฐานยิงสำหรับการโจมตีรูปแบบอื่นๆ
รวมทั้ง ransomware,
การกรองข้อมูลและอื่น ๆ
“เราเลือกที่จะโจมตี Active Directory
ตัวควบคุมโดเมน เพื่อให้ RCE มีผลกระทบมากที่สุด” Harpaz กล่าวเสริม
Ben Barnea ของ Akamai ชี้ให้เห็นถึงสิ่งนี้
และเนื่องจากบริการที่มีช่องโหว่เป็นบริการหลักใน Windows ทุกเครื่อง
คำแนะนำที่ดีที่สุดคือการแก้ไขระบบที่มีช่องโหว่
“การปิดใช้งานบริการนี้ไม่สามารถทำได้
วิธีแก้ปัญหา” เขากล่าว
การปลอมแปลงเซิร์ฟเวอร์นำไปสู่ข้อมูลประจำตัว
ขโมย
Bud Broomhead ซีอีโอของ Viakoo กล่าวในแง่
ผลกระทบด้านลบต่อองค์กร การปลอมแปลงเซิร์ฟเวอร์ก็สามารถทำได้เช่นกัน
แมลง
“การปลอมแปลงเซิร์ฟเวอร์จะเพิ่มภัยคุกคามเพิ่มเติม
ต่อองค์กร ได้แก่ การโจมตีจากคนกลาง การขโมยข้อมูล
การดัดแปลงข้อมูล การเรียกใช้โค้ดจากระยะไกล และการแสวงหาประโยชน์อื่นๆ” เขากล่าวเสริม
ตัวอย่างทั่วไปของสิ่งนี้สามารถเห็นได้ด้วย
อุปกรณ์ Internet of Things (IoT) ที่เชื่อมโยงกับเซิร์ฟเวอร์แอปพลิเคชัน Windows เช่น IP
กล้องทั้งหมดเชื่อมต่อกับเซิร์ฟเวอร์ Windows ที่โฮสต์การจัดการวิดีโอ
แอพลิเคชัน
“บ่อยครั้งที่อุปกรณ์ IoT ได้รับการตั้งค่าโดยใช้
รหัสผ่านเดียวกัน เข้าถึงหนึ่งเดียว คุณเข้าถึงได้ทั้งหมด” เขา
พูดว่า. “การปลอมแปลงเซิร์ฟเวอร์นั้นสามารถเปิดใช้ภัยคุกคามด้านความสมบูรณ์ของข้อมูล
รวมถึงการปลูกฝังของปลอม”
Broomhead เสริมว่าในระดับพื้นฐานสิ่งเหล่านี้
เส้นทางการแสวงหาผลประโยชน์เป็นตัวอย่างของการละเมิดความเชื่อถือของระบบภายใน — โดยเฉพาะอย่างยิ่ง
ในกรณีของการบังคับตรวจสอบสิทธิ์
การกระจายแรงงานขยายการโจมตี
พื้นผิว
Mike Parkin วิศวกรด้านเทคนิคอาวุโสที่
Vulcan Cyber กล่าวว่าแม้ว่าจะไม่ปรากฏว่าปัญหานี้เกิดขึ้น
ใช้ประโยชน์จากป่า นักคุกคามที่ประสบความสำเร็จในการปลอมแปลงที่ถูกต้องตามกฎหมายและ
เซิร์ฟเวอร์ที่เชื่อถือได้ หรือการบังคับใช้การรับรองความถูกต้องกับเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ อาจทำให้เกิดก
โฮสต์ของปัญหา
“มีหลายฟังก์ชั่นที่เป็น
ขึ้นอยู่กับความสัมพันธ์ 'ความเชื่อถือ' ระหว่างเซิร์ฟเวอร์และไคลเอ็นต์และการปลอมแปลงนั้น
จะปล่อยให้ผู้โจมตีใช้ประโยชน์จากความสัมพันธ์เหล่านั้น” เขากล่าว
Parkin เพิ่มพนักงานกระจายกว้างขึ้น
พื้นผิวของภัยคุกคามเป็นอย่างมาก ซึ่งทำให้มีความท้าทายมากขึ้นในการแก้ไขให้ถูกต้อง
ควบคุมการเข้าถึงโปรโตคอลที่ไม่ควรเปิดเผยภายนอกองค์กร
สภาพแวดล้อมในท้องถิ่น
Broomhead ชี้ให้เห็นมากกว่าการโจมตี
พื้นผิวถูกบรรจุอย่างเรียบร้อยในศูนย์ข้อมูล พนักงานแบบกระจายมี
ยังขยายพื้นผิวการโจมตีทั้งทางร่างกายและทางตรรกะ
“ตั้งหลักภายในเครือข่าย
ง่ายขึ้นด้วยพื้นผิวการโจมตีที่ขยายออก กำจัดได้ยากขึ้น และจัดเตรียมให้
ศักยภาพในการรั่วไหลสู่เครือข่ายที่บ้านหรือเครือข่ายส่วนตัวของพนักงาน”
เขาบอกว่า
จากมุมมองของเขา การรักษาความไว้วางใจเป็นศูนย์
หรือปรัชญาที่ได้รับสิทธิพิเศษน้อยที่สุดจะลดการพึ่งพาข้อมูลรับรองและ
ผลกระทบจากการถูกขโมยข้อมูลประจำตัว
Parkin เสริมว่าช่วยลดความเสี่ยงจาก
การโจมตีเช่นนี้จำเป็นต้องลดพื้นผิวของภัยคุกคามให้เหลือน้อยที่สุด ภายในที่เหมาะสม
การควบคุมการเข้าถึงและการอัปเดตแพทช์ทั่วทั้งสภาพแวดล้อม
“ไม่มีการป้องกันที่สมบูรณ์แบบ แต่
พวกเขาช่วยลดความเสี่ยง” เขากล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
