Araştırmacılar, Windows Server hizmeti için uzaktan yordam çağrılarında (RPC) bir saldırganın belirli bir ağ yapılandırmasında etki alanı denetleyicisi (DC) üzerinde denetim elde etmesine ve uzaktan kod yürütmesine olanak verebilecek bir güvenlik açığı keşfetti.
Kötü niyetli aktörler, sunucu sahtekarlığı gerçekleştirmek üzere bir sunucunun sertifika eşlemesini değiştirmek için güvenlik açığından da yararlanabilir.
güvenlik açığı CVE-2022-30216Yama uygulanmamış Windows 11 ve Windows Server 2022 makinelerinde bulunan , Temmuz ayının Salı Yaması’nda ele alındı, ancak bildiri
Güvenlik açığını keşfeden Akamai araştırmacısı Ben Barnes’dan, hata hakkında teknik ayrıntılar sunuyor.
Tam saldırı akışı, DC, hizmetleri ve verileri üzerinde tam kontrol sağlar.
Uzaktan Kod Yürütme için Proof of Concept Exploit
Güvenlik açığı, sunucuyla iletişimi sağlayan bir aktarım katmanı ağ protokolü olan QUIC üzerinden SMB’de bulundu. Dosyalar, paylaşımlar ve yazıcılar gibi ağ kaynaklarına bağlantı sağlar. Kimlik bilgileri, alıcı sistemin güvenilir olabileceği inancına dayalı olarak da ifşa edilir.
Akamai’ye göre, hata, etki alanı kullanıcısı olarak kimliği doğrulanmış kötü niyetli bir aktörün SMB sunucusundaki dosyaları değiştirmesine ve bunları bağlı istemcilere sunmasına izin verebilir. Bir kavram kanıtı olarak, araştırmacılar, kimlik doğrulama zorlaması yoluyla kimlik bilgilerini çalmak için hatadan yararlandı.
Spesifik olarak, bir NTLM geçiş saldırısı kurdular. Artık kullanımdan kaldırılan NTLM, kimlik bilgilerini ve oturum anahtarlarını kolayca ortaya çıkarabilen zayıf bir kimlik doğrulama protokolü kullanır. Geçiş saldırısında, kötü niyetli kişiler bir kimlik doğrulaması yakalayabilir ve bunu başka bir sunucuya iletebilir; bu, daha sonra güvenliği ihlal edilmiş kullanıcının ayrıcalıklarıyla uzaktaki sunucuda kimlik doğrulaması yapmak için kullanabilir ve bir Active Directory etki alanı içinde yanal olarak hareket etme ve ayrıcalıkları yükseltme olanağı sağlar.
Akamai güvenlik araştırmacıları Ophir Harpaz, “Seçtiğimiz yön, kimlik doğrulama zorlamasından yararlanmaktı” diyor. “Seçtiğimiz belirli NTLM geçiş saldırısı, kimlik bilgilerini ağdaki sertifikaları yönetmekten sorumlu olan Active Directory CS hizmetine aktarmayı içeriyor.”
Güvenlik açığı bulunan işlev çağrıldığında, kurban ağ kimlik bilgilerini hemen saldırgan tarafından kontrol edilen bir makineye geri gönderir. Saldırganlar buradan, kurban makinesinde tam uzaktan kod yürütme (RCE) elde edebilir ve fidye yazılımı, veri hırsızlığı ve diğerleri dahil olmak üzere diğer birçok saldırı biçimi için bir başlatma rampası oluşturabilir.
Harpaz, “RCE’nin en etkili olacağı şekilde Active Directory etki alanı denetleyicisine saldırmayı seçtik” diye ekliyor.
Akamai’den Ben Barnea bu duruma dikkat çekiyor ve savunmasız hizmet her Windows makinesinde temel bir hizmet olduğundan, ideal öneri savunmasız sistemi yamalamaktır.
“Hizmeti devre dışı bırakmak, uygulanabilir bir geçici çözüm değil” diyor.
Sunucu Sahtekarlığı, Kimlik Bilgisi Hırsızlığına Yol Açıyor
Viakoo CEO’su Bud Broomhead, kuruluşlara olumsuz etki açısından, bu hatayla sunucu sahtekarlığının da mümkün olduğunu söylüyor.
“Sunucu sahtekarlığı, ortadaki adam saldırıları, veri hırsızlığı, veri kurcalama, uzaktan kod yürütme ve diğer istismarlar dahil olmak üzere kuruluşa ek tehditler ekler” diye ekliyor.
Bunun yaygın bir örneği, Windows uygulama sunucularına bağlı Nesnelerin İnterneti (IoT) cihazlarında görülebilir; örneğin, tümü video yönetim uygulamasını barındıran bir Windows sunucusuna bağlı IP kameralar.
“Genellikle IoT cihazları aynı şifreler kullanılarak kurulur; birine erişim elde edin, hepsine erişim kazandınız” diyor. “Bu sunucunun sahtekarlığı, derin sahtekarlıkların yerleştirilmesi de dahil olmak üzere veri bütünlüğü tehditlerini etkinleştirebilir.”
Broomhead, temel düzeyde, bu istismar yollarının, özellikle kimlik doğrulama zorlaması durumunda, dahili sistem güvenini ihlal etme örnekleri olduğunu ekliyor.
Dağıtılmış İş Gücü Saldırı Alanını Genişletiyor
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, bu sorundan henüz yararlanılmamış gibi görünse de, bir tehdit aktörünün meşru ve güvenilir bir sunucuyu başarılı bir şekilde yanıltması veya güvenilmeyen bir sunucuya kimlik doğrulamasını zorlaması, bir sürü sorun.
“Sunucu ve istemci arasındaki ‘güven’ ilişkisine ve bir saldırganın bu ilişkilerden herhangi birini kullanmasına izin verecek sahtekarlığa dayanan birçok işlev var” diye belirtiyor.
Parkin, dağıtılmış bir işgücü ekler, tehdit yüzeyini önemli ölçüde genişletir, bu da kuruluşun yerel ortamının dışında görülmemesi gereken protokollere erişimi uygun şekilde kontrol etmeyi daha zor hale getirir.
Broomhead, saldırı yüzeyinin veri merkezlerinde düzgün bir şekilde yer almasından ziyade, dağıtılmış iş gücünün saldırı yüzeyini fiziksel ve mantıksal olarak genişlettiğine dikkat çekiyor.
“Bu genişletilmiş saldırı yüzeyi ile ağ içinde bir yer edinmek daha kolay, ortadan kaldırılması daha zor ve çalışanların evlerine veya kişisel ağlarına yayılma potansiyeli sağlıyor” diyor.
Onun bakış açısına göre, sıfır güven veya en az ayrıcalıklı felsefeleri sürdürmek, kimlik bilgilerine bağımlılığı ve kimlik bilgilerinin çalınmasının etkisini azaltır.
Parkin, bunun gibi saldırılardan kaynaklanan risklerin azaltılmasının tehdit yüzeyinin en aza indirilmesi, uygun dahili erişim kontrolleri ve ortamdaki yamaları güncel tutmayı gerektirdiğini ekliyor.
“Hiçbiri mükemmel bir savunma değil, ancak riski azaltmaya hizmet ediyor” diyor.