研究人员发现了一个漏洞
在 Windows Server 服务的远程过程调用 (RPC) 中,它可以
允许攻击者获得对特定域控制器 (DC) 的控制权
网络配置和执行远程代码。
恶意行为者也可以利用
修改服务器的证书映射以执行服务器的漏洞
欺骗。
漏洞 CVE-2022-30216,
它存在于未修补的 Windows 11 和 Windows Server 2022 机器中,是
在 XNUMX 月的补丁星期二中解决,但是 报告
发现该漏洞的 Akamai 研究员 Ben Barnes 提供
错误的技术细节。
完整的攻击流程提供完全控制
DC、其服务和数据。
远程利用的概念证明
代码执行
该漏洞是在 SMB over QUIC 中发现的,
一种传输层网络协议,它允许与
服务器。 它允许连接到网络资源,例如文件、共享和
打印机。 凭据也基于接收方的信念而暴露
系统是可以信任的。
该错误可能允许经过身份验证的恶意行为者
作为域用户替换 SMB 服务器上的文件并将其提供给
根据 Akamai 的说法,连接客户。 在概念验证中,研究人员
利用该漏洞通过身份验证强制窃取凭据。
具体来说,他们设立了一个 NTLM
中继攻击. 现在已弃用,NTLM 使用弱身份验证协议,
可以轻松地显示凭据和会话密钥。 在中继攻击中,不良行为者
可以捕获身份验证并将其中继到另一台服务器 - 他们可以
然后使用受感染用户的身份对远程服务器进行身份验证
特权,提供横向移动和升级特权的能力
在 Active Directory 域中。
“我们选择的方向是
身份验证强制的优势,”Akamai 安全研究人员
奥菲尔哈帕兹说。 “我们选择的特定 NTLM 中继攻击涉及
将凭据中继到 Active Directory CS 服务,该服务是
负责管理网络中的证书。”
一旦调用了易受攻击的函数,
受害者立即将网络凭据发送回攻击者控制的
机器。 从那里,攻击者可以获得完整的远程代码执行 (RCE)
受害者机器,为其他几种形式的攻击建立发射台
如: 勒索,
数据泄露等。
“我们选择攻击 Active Directory
域控制器,这样 RCE 将是最有影响力的,”Harpaz 补充道。
Akamai 的 Ben Barnea 指出了这一点
案例,并且由于易受攻击的服务是每个 Windows 上的核心服务
机器,理想的建议是修补易受攻击的系统。
“禁用服务是不可行的
解决方法,”他说。
服务器欺骗导致凭证
盗窃
Viakoo 首席执行官 Bud Broomhead 表示
对组织产生负面影响,服务器欺骗也是可能的
错误。
“服务器欺骗增加了额外的威胁
对组织的攻击,包括中间人攻击、数据泄露、
数据篡改、远程代码执行和其他攻击,”他补充道。
可以看到一个常见的例子
与 Windows 应用服务器绑定的物联网 (IoT) 设备; 例如,IP
摄像头都连接到托管视频管理的 Windows 服务器
应用程序。
“通常物联网设备是使用
相同的密码; 获得访问权,你就获得了访问权,”他
说。 “该服务器的欺骗可能会导致数据完整性威胁,
包括种植deepfake。”
Broomhead 补充说,在基本层面上,这些
利用路径是破坏内部系统信任的例子——尤其是
在身份验证强制的情况下。
分布式劳动力扩大了攻击范围
磁化面
Mike Parkin,高级技术工程师
Vulcan Cyber,说虽然这个问题似乎还没有
在野外利用,威胁行为者成功地欺骗了合法和
受信任的服务器,或强制对不受信任的服务器进行身份验证,可能会导致
主机的问题。
“有很多功能
基于服务器和客户端之间的“信任”关系并欺骗
会让攻击者利用任何这些关系,”他指出。
Parkin 增加了分布式劳动力
威胁面相当大,这使得正确处理变得更具挑战性
控制对不应在组织之外看到的协议的访问
当地环境。
扫帚头指出而不是攻击
表面被整齐地包含在数据中心中,分散的劳动力
还从物理和逻辑上扩展了攻击面。
“在网络中站稳脚跟
使用这种扩展的攻击面更容易,更难消除,并提供
溢出到员工家庭或个人网络的潜力,”
他说。
在他看来,保持零信任
或最低特权的哲学减少了对证书的依赖和
凭证被盗的影响。
帕金补充说,降低风险
像这样的攻击需要最小化威胁面,适当的内部
访问控制,并在整个环境中及时更新补丁。
“他们都不是完美的防守,但
它们确实有助于降低风险,”他说。
