Các nhà nghiên cứu đã phát hiện ra một lỗ hổng
trong các cuộc gọi thủ tục từ xa (RPC) cho dịch vụ Windows Server, có thể
cho phép kẻ tấn công giành quyền kiểm soát bộ điều khiển miền (DC) theo một cách cụ thể
cấu hình mạng và thực thi mã từ xa.
Các tác nhân độc hại cũng có thể khai thác
lỗ hổng sửa đổi ánh xạ chứng chỉ của máy chủ để thực hiện hoạt động của máy chủ
giả mạo.
Dễ bị tổn thương CVE-2022-30216,
tồn tại trong các máy Windows 11 và Windows Server 2022 chưa được vá, đã bị
được giải quyết trong Bản vá thứ ba của tháng 7, nhưng một báo cáo
từ nhà nghiên cứu Akamai Ben Barnes, người đã phát hiện ra lỗ hổng, đưa ra
chi tiết kỹ thuật về lỗi.
Luồng tấn công đầy đủ cung cấp toàn quyền kiểm soát
qua DC, các dịch vụ và dữ liệu của nó.
Khai thác bằng chứng khái niệm cho điều khiển từ xa
Thực thi mã
Lỗ hổng được tìm thấy trong SMB qua QUIC,
một giao thức mạng lớp vận chuyển, cho phép giao tiếp với
máy chủ. Nó cho phép kết nối tới các tài nguyên mạng như tập tin, chia sẻ và
máy in. Thông tin xác thực cũng được tiết lộ dựa trên niềm tin rằng việc nhận
hệ thống có thể được tin cậy.
Lỗi có thể cho phép một tác nhân độc hại được xác thực
với tư cách là người dùng miền để thay thế các tệp trên máy chủ SMB và cung cấp chúng cho
kết nối khách hàng, theo Akamai. Trong việc chứng minh khái niệm, các nhà nghiên cứu
khai thác lỗi để lấy cắp thông tin xác thực thông qua ép buộc xác thực.
Cụ thể, họ thiết lập một NTLM
tấn công tiếp sức. Hiện không còn được dùng nữa, NTLM sử dụng giao thức xác thực yếu
có thể dễ dàng tiết lộ thông tin đăng nhập và khóa phiên. Trong một cuộc tấn công tiếp sức, những kẻ xấu
có thể nắm bắt xác thực và chuyển tiếp nó đến một máy chủ khác - họ có thể
sau đó sử dụng để xác thực với máy chủ từ xa bằng thông tin của người dùng bị xâm nhập
đặc quyền, cung cấp khả năng di chuyển ngang và leo thang đặc quyền
trong một miền Active Directory.
“Con đường chúng tôi đã chọn là đi
lợi thế của việc ép buộc xác thực”, các nhà nghiên cứu bảo mật của Akamai
Ophir Harpaz nói. “Cuộc tấn công chuyển tiếp NTLM cụ thể mà chúng tôi đã chọn liên quan đến
chuyển tiếp thông tin xác thực đến dịch vụ Active Directory CS, dịch vụ này
chịu trách nhiệm quản lý các chứng chỉ trong mạng.”
Khi chức năng dễ bị tổn thương được gọi,
nạn nhân ngay lập tức gửi lại thông tin xác thực mạng cho kẻ tấn công do kẻ tấn công kiểm soát
máy móc. Từ đó, kẻ tấn công có thể thực thi mã từ xa (RCE) đầy đủ trên
máy nạn nhân, thiết lập bệ phóng cho một số hình thức tấn công khác
kể cả ransomware,
lọc dữ liệu, và những thứ khác.
“Chúng tôi đã chọn tấn công Active Directory
bộ điều khiển miền, sao cho RCE sẽ có tác động mạnh nhất,” Harpaz cho biết thêm.
Ben Barnea của Akamai chỉ ra điều này
trường hợp này và vì dịch vụ dễ bị tấn công là dịch vụ cốt lõi trên mọi Windows
máy, khuyến nghị lý tưởng là vá hệ thống dễ bị tấn công.
“Việc vô hiệu hóa dịch vụ là không khả thi
cách giải quyết,” anh nói.
Việc giả mạo máy chủ dẫn đến thông tin xác thực
Trộm
Bud Broomhead, Giám đốc điều hành tại Viakoo, nói về mặt
tác động tiêu cực đến các tổ chức, việc giả mạo máy chủ cũng có thể xảy ra với điều này
lỗi.
“Việc giả mạo máy chủ tạo thêm các mối đe dọa
cho tổ chức, bao gồm các cuộc tấn công trung gian, lấy cắp dữ liệu,
giả mạo dữ liệu, thực thi mã từ xa và các hoạt động khai thác khác,” ông nói thêm.
Một ví dụ phổ biến về điều này có thể được nhìn thấy với
Các thiết bị Internet of Things (IoT) được gắn với máy chủ ứng dụng Windows; ví dụ: IP
tất cả các camera được kết nối với máy chủ Windows lưu trữ quản lý video
ứng dụng.
“Các thiết bị IoT thường được thiết lập bằng cách sử dụng
cùng một mật khẩu; có quyền truy cập vào một cái, bạn đã có quyền truy cập vào tất cả chúng,” anh ấy
nói. “Việc giả mạo máy chủ đó có thể gây ra các mối đe dọa về tính toàn vẹn dữ liệu,
bao gồm cả việc trồng deepfake.”
Broomhead cho biết thêm rằng ở mức độ cơ bản, những
đường dẫn khai thác là ví dụ về việc vi phạm lòng tin của hệ thống nội bộ — đặc biệt là
trong trường hợp cưỡng chế xác thực.
Lực lượng lao động phân tán mở rộng cuộc tấn công
Bề mặt
Mike Parkin, kỹ sư kỹ thuật cao cấp tại
Vulcan Cyber, cho biết mặc dù có vẻ như vấn đề này vẫn chưa được giải quyết
được tận dụng một cách hoang dã, một tác nhân đe dọa đã giả mạo thành công một tài khoản hợp pháp và
máy chủ đáng tin cậy hoặc buộc xác thực đến một máy chủ không đáng tin cậy có thể gây ra
hàng loạt vấn đề.
“Có rất nhiều chức năng
dựa trên mối quan hệ 'tin cậy' giữa máy chủ và máy khách và giả mạo mối quan hệ đó
sẽ cho phép kẻ tấn công tận dụng bất kỳ mối quan hệ nào trong số đó,” ông lưu ý.
Parkin bổ sung lực lượng lao động phân tán mở rộng
bề mặt mối đe dọa đáng kể, điều này làm cho việc xác định chính xác trở nên khó khăn hơn
kiểm soát quyền truy cập vào các giao thức không được nhìn thấy bên ngoài tổ chức
môi trường địa phương.
Broomhead chỉ ra thay vì tấn công
bề mặt được chứa gọn gàng trong các trung tâm dữ liệu, lực lượng lao động phân tán có
cũng mở rộng bề mặt tấn công về mặt vật lý và logic.
“Có được chỗ đứng trong mạng lưới
dễ dàng hơn với bề mặt tấn công mở rộng này, khó loại bỏ hơn và cung cấp
khả năng lan tỏa vào mạng lưới gia đình hoặc cá nhân của nhân viên,”
, ông nói.
Từ quan điểm của anh ấy, việc duy trì sự tin tưởng bằng không
hoặc những triết lý ít đặc quyền nhất làm giảm sự phụ thuộc vào bằng cấp và
tác động của thông tin bị đánh cắp.
Parkin cho biết thêm rằng việc giảm rủi ro từ
các cuộc tấn công như thế này đòi hỏi phải giảm thiểu bề mặt mối đe dọa, các
kiểm soát truy cập và cập nhật các bản vá trên toàn bộ môi trường.
“Không có cách nào trong số đó là cách phòng thủ hoàn hảo, nhưng
chúng thực sự có tác dụng giảm thiểu rủi ro,” ông nói.
