Araştırmacılar bir güvenlik açığı keşfetti
Windows Sunucu hizmeti için uzaktan yordam çağrılarında (RPC), bu da
bir saldırganın etki alanı denetleyicisi (DC) üzerinde denetimi ele geçirmesine olanak tanır.
ağ yapılandırması ve uzaktan kod yürütme.
Kötü niyetli aktörler de
sunucu gerçekleştirmek için bir sunucunun sertifika eşlemesini değiştirme güvenlik açığı
sahtekarlık
Güvenlik Açığı CVE-2022-30216,
yama uygulanmamış Windows 11 ve Windows Server 2022 makinelerinde bulunan
Temmuz'un Salı Yaması'nda ele alındı, ancak bir rapor
Güvenlik açığını keşfeden Akamai araştırmacısı Ben Barnes,
hatayla ilgili teknik ayrıntılar.
Tam saldırı akışı, tam kontrol sağlar
DC, hizmetleri ve verileri üzerinden.
Uzaktan Kumanda için Konsept Kanıtı İstismarı
Kod Yürütme
Güvenlik açığı, QUIC üzerinden SMB'de bulundu,
ile iletişimi sağlayan bir taşıma katmanı ağ protokolüdür.
sunucu. Dosyalar, paylaşımlar gibi ağ kaynaklarına bağlantılara izin verir.
yazıcılar. Kimlik bilgileri, alıcının inancına dayalı olarak da ifşa edilir.
sisteme güvenilebilir.
Hata, kötü niyetli bir aktörün kimliğinin doğrulanmasına izin verebilir
SMB sunucusundaki dosyaları değiştirmek ve onlara hizmet etmek için bir etki alanı kullanıcısı olarak
Akamai'ye göre istemcileri birbirine bağlamak. Kavram kanıtlamasında, araştırmacılar
kimlik doğrulama zorlaması yoluyla kimlik bilgilerini çalmak için hatadan yararlandı.
Özellikle, bir NTLM
röle saldırısı. Artık kullanımdan kaldırılmış olan NTLM, zayıf bir kimlik doğrulama protokolü kullanır.
kimlik bilgilerini ve oturum anahtarlarını kolayca ortaya çıkarabilir. Aktarma saldırısında, kötü aktörler
bir kimlik doğrulaması yakalayabilir ve başka bir sunucuya aktarabilir;
daha sonra güvenliği ihlal edilmiş kullanıcının kimliğiyle uzak sunucuda kimlik doğrulaması yapmak için kullanın.
ayrıcalıklar, yatay olarak hareket etme ve ayrıcalıkları artırma yeteneği sağlar
bir Active Directory etki alanı içinde.
“Seçtiğimiz yön,
kimlik doğrulama zorlamasının avantajı, "Akamai güvenlik araştırmacıları
Ophir Harpaz diyor. "Seçtiğimiz spesifik NTLM geçiş saldırısı şunları içerir:
kimlik bilgilerini Active Directory CS hizmetine aktarma;
ağdaki sertifikaların yönetiminden sorumlu.”
Savunmasız işlev çağrıldığında,
kurban, ağ kimlik bilgilerini hemen saldırgan tarafından kontrol edilen bir bilgisayara geri gönderir
makine. Saldırganlar buradan tam uzaktan kod yürütme (RCE) elde edebilir.
diğer birkaç saldırı biçimi için bir fırlatma rampası oluşturan kurban makinesi
dahil olmak üzere fidye,
veri hırsızlığı ve diğerleri.
“Active Directory'ye saldırmayı seçtik
Etki alanı denetleyicisi, RCE'nin en etkili olacağı şekilde," diye ekliyor Harpaz.
Akamai'den Ben Barnea bununla dikkat çekiyor
durum ve savunmasız hizmet her Windows'ta bir çekirdek hizmet olduğu için
makine, ideal öneri savunmasız sisteme yama yapmaktır.
“Hizmeti devre dışı bırakmak mümkün değil
geçici çözüm," diyor.
Sunucu Sahtekarlığı Kimlik Bilgilerine Yol Açıyor
Hırsızlık
Viakoo'nun CEO'su Bud Broomhead terimlerle söylüyor
kuruluşlar üzerinde olumsuz bir etkiye sahip olmasa da, bununla sunucu sahtekarlığı da mümkündür
böcek.
"Sunucu sahtekarlığı ek tehditler ekler
ortadaki adam saldırıları, veri hırsızlığı,
veri kurcalama, uzaktan kod yürütme ve diğer açıklardan yararlanma” diye ekliyor.
Bunun yaygın bir örneği ile görülebilir
Windows uygulama sunucularına bağlı Nesnelerin İnterneti (IoT) cihazları; örneğin IP
kameraların tümü, video yönetimini barındıran bir Windows sunucusuna bağlı
uygulama.
"Genellikle IoT cihazları şu şekilde kurulur:
aynı şifreler; birine erişim elde ettiyseniz, hepsine erişim kazandınız” dedi.
diyor. "Bu sunucunun sahtekarlığı, veri bütünlüğü tehditlerini etkinleştirebilir,
Deepfake'lerin ekilmesi dahil.
Broomhead, temel düzeyde, bunların
istismar yolları, dahili sistem güvenini ihlal etme örnekleridir - özellikle
kimlik doğrulama zorlaması durumunda.
Dağıtılmış İşgücü Saldırıyı Genişletiyor
yüzey
Kıdemli teknik mühendis Mike Parkin,
Vulcan Cyber, bu sorunun henüz çözülmediğini söylüyor
vahşi ortamda yararlanılan bir tehdit aktörü, meşru ve
güvenilen bir sunucu veya güvenilmeyen bir sunucuya kimlik doğrulamasını zorlamak,
problemler barındırıyor.
“Birçok fonksiyon var
sunucu ve istemci arasındaki 'güven' ilişkisine dayalı ve
bir saldırganın bu ilişkilerden herhangi birini kullanmasına izin verir," diye belirtiyor.
Parkin, dağıtılmış bir işgücünü genişletiyor
Tehdit önemli ölçüde yüzeye çıkar, bu da düzgün şekilde ele alınmasını daha zor hale getirir.
kuruluşun dışında görülmemesi gereken protokollere erişimi kontrol edin
yerel Çevre.
Broomhead saldırı yerine işaret ediyor
veri merkezlerinde düzgün bir şekilde yer alan yüzey, dağıtılmış iş gücü
ayrıca saldırı yüzeyini fiziksel ve mantıksal olarak genişletti.
“Ağ içinde bir yer edinmek
Bu genişletilmiş saldırı yüzeyi ile daha kolay, ortadan kaldırılması daha zor ve
çalışanların evlerine veya kişisel ağlarına yayılma potansiyeli”
diyor.
Onun bakış açısından, sıfır güveni sürdürmek
veya en az ayrıcalıklı felsefeler, kimlik bilgilerine olan bağımlılığı azaltır ve
kimlik bilgilerinin çalınmasının etkisi.
Parkin, riski azaltmanın
Bunun gibi saldırılar, tehdit yüzeyinin en aza indirilmesini, uygun dahili
erişim kontrolleri ve ortamdaki yamalar hakkında güncel bilgiler.
"Hiçbiri mükemmel bir savunma değil, ama
riski azaltmaya hizmet ediyorlar” diyor.
