Resumen: En semanas recientes, una vulnerabilidad de severidad crítica fue detectada en la llamada a procedimiento remoto (RPC) del servicio Windows Server.
Rastreado como CVE-2022-30216, el fallo fue detectado por los investigadores de Akamai, quienes en un reciente informe dieron a conocer los detalles técnicos sobre el problema.
La vulnerabilidad está presente en todos los equipos de Windows 11 y Windows Server 2022.
Los actores de la amenaza podrían aprovechar el problema y obtener el control sobre el controlador de dominio (DC) en una configuración de red específica para ejecutar código remoto.
También, los atacantes podrían explotar la vulnerabilidad para modificar la asignación de los certificados de un servidor y posteriormente realizar una suplantación de servidores.
En una prueba de concepto, los investigadores de Akamai crearon un ataque de retransmisión NTLM para comprobar el alcance de la vulnerabilidad.
El ataque implicó la retransmisión de las credenciales al servicio de Active Directory.
Al explotar la función vulnerable, los investigadores lograron capturar una autenticación y retransmitirla a otro servidor para autenticarse en el servidor remoto con los privilegios del usuario comprometido.
La ejecución remota de código en la máquina comprometida, sería entonces una plataforma perfecta para el despliegue de futuras herramientas maliciosas.
El fallo también podría dar lugar a la suplantación de servidores, lo que significaría un factor de alto riesgo para las organizaciones.
Esto debido a que la suplantación de servidores añade consigo nuevas amenazas, incluyendo ataques man-in-the-middle, exfiltración de datos, manipulación de datos, ejecución remota de código y otros exploits.
Además, muchas funciones de las organizaciones se basan entre la relación del servidor y el cliente, por ende la suplantación de servidores permitiría a los atacantes aprovechar cualquiera de estas relaciones
Ambas vías de explotación podrían convertirse en problemas importantes para los sistemas vulnerables.
Dicho esto, con el objetivo de reducir el posible riesgo de la explotación, se le insta a todos los administradores a instalar los parches correspondientes para sus entornos.
Microsoft ya abordó la vulnerabilidad en el Patch Tuesday del mes pasado.
Recomendaciones: Se le insta a los administradores a parchear sus sistemas vulnerables con los parches proporcionados por Microsoft.
Referencias: https://www.akamai.com/blog/security/authentication-coercion-windows-server-service |
SÍGUENOS