Дослідники виявили вразливість
у віддалених викликах процедур (RPC) для служби Windows Server, які можуть
дозволяють зловмиснику отримати контроль над контролером домену (DC) у певному
налаштування мережі та виконання віддаленого коду.
Зловмисники також можуть використовувати
уразливість для зміни відображення сертифіката сервера для роботи сервера
підробка.
Уразливість CVE-2022-30216,
який існує на машинах Windows 11 і Windows Server 2022 без виправлень
розглянуто в липневому патч-вівторку, але a звітом
від дослідника Akamai Бена Барнса, який виявив уразливість, пропонує
технічні деталі помилки.
Повний потік атаки забезпечує повний контроль
через DC, його служби та дані.
Доказ концептуального експлойту для Remote
Виконання коду
Уразливість виявлена в SMB через QUIC,
мережевий протокол транспортного рівня, який забезпечує зв’язок із
сервер. Він дозволяє підключатися до мережевих ресурсів, таких як файли, спільні ресурси та
принтери. Облікові дані також викриваються на основі віри в те, що отримання
системі можна довіряти.
Помилка могла дозволити автентифікувати зловмисника
як користувач домену, щоб замінювати файли на сервері SMB і обслуговувати їх
підключення клієнтів, згідно з Akamai. У доказі концепції дослідники
використовував помилку для викрадення облікових даних за допомогою примусової автентифікації.
Зокрема, вони створили NTLM
естафетна атака. Зараз застарілий NTLM використовує слабкий протокол автентифікації, який
може легко розкрити облікові дані та ключі сеансу. В естафетній атаці погані актори
можуть перехопити автентифікацію та передати її на інший сервер, що вони можуть
потім використовуйте для автентифікації на віддаленому сервері за допомогою скомпрометованого користувача
привілеї, надаючи можливість переміщатися вбік і підвищувати привілеї
в межах домену Active Directory.
«Напрямок, який ми обрали
перевага примусової автентифікації», дослідники безпеки Akamai
Офір Гарпаз каже. «Обрана нами конкретна ретрансляційна атака NTLM включає
передача облікових даних службі Active Directory CS, яка є
відповідальний за керування сертифікатами в мережі».
Після виклику вразливої функції,
жертва негайно надсилає облікові дані мережі контрольованому зловмиснику
машина. Звідти зловмисники можуть отримати повне віддалене виконання коду (RCE) на
машина жертви, створюючи стартовий майданчик для кількох інших форм атак
включаючи вимагачів,
викрадання даних та ін.
«Ми вирішили атакувати Active Directory
контролер домену, щоб RCE був найефективнішим», – додає Гарпаз.
На це вказує Бен Барні з Akamai
і оскільки вразлива служба є основною службою кожної Windows
машини, ідеальною рекомендацією є виправлення вразливої системи.
«Відключення послуги неможливе
обхідний шлях", - говорить він.
Підробка сервера призводить до облікових даних
Крадіжка
Бад Брумхед, генеральний директор Viakoo, говорить у термінах
негативного впливу на організації, також можливий спуфінг сервера
помилка.
«Спуфінг сервера додає додаткові загрози
для організації, включаючи атаки типу "людина посередині", викрадання даних,
підробка даних, віддалене виконання коду та інші експлойти», – додає він.
Типовий приклад цього можна побачити з
пристрої Інтернету речей (IoT), підключені до серверів додатків Windows; наприклад, IP
камери, підключені до сервера Windows, на якому розміщено керування відео
Додаток.
«Часто пристрої IoT налаштовуються за допомогою
однакові паролі; отримавши доступ до одного, ви отримали доступ до всіх», — сказав він
каже. «Спуфінг цього сервера може створювати загрози цілісності даних,
включно з розміщенням дипфейків».
Брумхед додає, що на базовому рівні ці
Шляхи експлуатації є прикладами порушення довіри внутрішньої системи — особливо
у разі примусової автентифікації.
Розподілена робоча сила розширює атаку
поверхню
Майк Паркін, старший технічний інженер компанії
Vulcan Cyber каже, що хоча ця проблема ще не виникла
використаний у дикій природі, загрозливий актор успішно підмінює законну та
надійний сервер або примусова автентифікація на ненадійному сервері може спричинити a
безліч проблем.
«Є багато функцій
заснований на «довірчих» відносинах між сервером і клієнтом і підробці цього
дозволив би зловмиснику використати будь-які з цих відносин», – зазначає він.
Паркін додає, що розподілена робоча сила розширюється
поверхня загрози значно, що ускладнює її належним чином
контролювати доступ до протоколів, які не можна бачити за межами організації
місцеве середовище.
Брумхед вказує, а не атакує
поверхня, яка акуратно міститься в центрах обробки даних, має розподілена робоча сила
також розширив поверхню атаки фізично та логічно.
«Закріплення в мережі
легше з цією розширеною поверхнею атаки, її важче усунути та забезпечує
можливість перетікання в домашні або особисті мережі співробітників»,
він говорить.
З його точки зору, збереження нульової довіри
або найменш привілейованих філософій зменшує залежність від облікових даних і
вплив викрадення облікових даних.
Паркін додає, що зниження ризику від
подібні атаки вимагають мінімізації поверхневої загрози, належної внутрішньої
керування доступом і оновлення патчів у всьому середовищі.
«Жоден із них не є ідеальним захистом, але
вони дійсно служать для зменшення ризику», – каже він.
