Σύμφωνα με τη Microsoft, η ευπάθεια «ShadowCoerce» που είχε αποκαλυφθεί προηγουμένως ως μέρος των ενημερώσεων του Ιουνίου 2022 και επέτρεπε στους εισβολείς να στοχεύουν διακομιστές Windows σε επιθέσεις αναμετάδοσης NTLM, έχει πλέον επιδιορθωθεί.
Δείτε επίσης: Microsoft: Εντοπίστηκε το “Raspberry Robin” Windows worm σε εκατοντάδες δίκτυα
Αυτή η μέθοδος επίθεσης αναμετάδοσης NTLM μπορεί να χρησιμοποιηθεί από παράγοντες απειλών για να αναγκάσουν τους μη επιδιορθωμένους διακομιστές να ελέγχουν την ταυτότητα έναντι διακομιστών που βρίσκονται υπό τον έλεγχο του εισβολέα, οδηγώντας σε κατάληψη του τομέα των Windows.
Ενώ δεν έγινε κάποια δημόσια ανακοίνωση σχετικά με αυτό το ζήτημα, η “κατάχρηση εξαναγκασμού του MS-FSRVP PoC γνωστή και ως “ShadowCoerce” μετριάστηκε με το CVE-2022-30154, το οποίο επηρέασε το ίδιο στοιχείο.“
Ο Διευθύνων Σύμβουλος της ACROS Security, Mitja Kolsek, ανακάλυψε ότι το ShadowCoerce διορθώθηκε σιωπηλά, ενώ το ερευνούσε με την ομάδα 0Patch για την έκδοση ενός micropatch.
Αν και είναι καλό που η Microsoft έχει επιδιορθώσει αυτό το θέμα ευπάθειας, δεν έχει δώσει ακόμη λεπτομέρειες δημόσια και δεν έχει ακόμη εκχωρήσει ένα αναγνωριστικό CVE.
Αυτό ώθησε εταιρείες ασφαλείας και ερευνητές να ζητήσουν από το Redmond περισσότερη διαφάνεια και να συμπεριλάβουν περισσότερες πληροφορίες σχετικά με το τι διορθώνεται στα δελτία ασφαλείας του.
Το ShadowCoerce ανακαλύφθηκε και αναλύθηκε για πρώτη φορά από τον ερευνητή ασφαλείας Lionel Gilles στα τέλη του 2021, στο τέλος μιας παρουσίασης που παρουσίαζε την επίθεση PetitPotam.
Δείτε ακόμα: Microsoft Defender: Εντοπισμός αδυναμιών σε συσκευές Android/iOS σε εταιρικά δίκτυα
Ευτυχώς, αυτή η μέθοδος επίθεσης μπορεί να εξαναγκάσει τον έλεγχο ταυτότητας μόνο μέσω του MS-FSRVP (File Server Remote VSS Protocol) σε συστήματα όπου είναι ενεργοποιημένη η υπηρεσία File Server VSS Agent.
Το MS-FSRVP είναι ένα πρωτόκολλο που βασίζεται σε κλήση απομακρυσμένης διαδικασίας (RPC) που χρησιμοποιείται για τη δημιουργία σκιωδών αντιγράφων κοινής χρήσης αρχείων σε απομακρυσμένους υπολογιστές.
Δυστυχώς, όπως έδειξε ο Gilles, αυτό το πρωτόκολλο είναι επίσης ευάλωτο σε επιθέσεις αναμετάδοσης NTLM που επιτρέπουν στους παράγοντες απειλής να αναγκάσουν (ή να εξαναγκάσουν) έναν ελεγκτή τομέα να ελέγξει την ταυτότητα έναντι ενός κακόβουλου ρελέ NTLM υπό τον έλεγχό τους.
Στη συνέχεια, ο κακόβουλος διακομιστής αναμεταδίδει ή προωθεί το αίτημα ελέγχου ταυτότητας στις Υπηρεσίες πιστοποιητικού Active Directory (AD CS) ενός τομέα για να λάβει ένα TGT που επιτρέπει στον εισβολέα να μιμηθεί οποιαδήποτε συσκευή δικτύου, συμπεριλαμβανομένου ενός ελεγκτή τομέα των Windows.
Αφού πλαστογραφήσουν έναν ελεγκτή τομέα, θα αποκτήσουν αυξημένα προνόμια που μπορούν να χρησιμοποιηθούν για την ανάληψη του τομέα των Windows.
Δείτε επίσης: Το Microsoft Teams για web μόλις απέκτησε νέες δυνατότητες
Ωστόσο, αυτοί οι τύποι επιθέσεων απαιτούν ένα δίκτυο να έχει ήδη παραβιαστεί από έναν παράγοντα απειλής και οι σχετικές υπηρεσίες να εκτελούνται και να είναι προσβάσιμες σε έναν στοχευμένο διακομιστή.
Ο καλύτερος τρόπος για να αποτρέψετε τέτοιες επιθέσεις είναι να ακολουθήσετε τη συμβουλή της Microsoft για τον μετριασμό της επίθεσης αναμετάδοσης PetitPotam NTLM.
