Logotyp: Microsoft // Sammansättning: ZDNet
I en rapport som släpptes i dag, säkerhet forskare har äntligen avslöjat djupgående information om en bugg som Microsoft lagas i November förra året och som de säger kan göra det möjligt för hackare att stjäla Windows Server installationer och missbruk Windows Deployment Services (WDS) att ta över servern och även distribuera backdoored Windows OS-versioner.
Enligt Check Point, påverkar sårbarheten alla Windows server 2008 SP2 och senare, och påverkan WDS-komponent ingår med dessa system.
WDS är vad företaget systemadministratörer använder för att distribuera Windows-operativsystem över en flotta av datorer från en central plats –en Windows Server OS där WDS-tjänsten körs.
På teknisk nivå, detta görs genom att köra ett Nätverk Starta Programmet (NBP) som skickar pre-boot meddelanden till PXE (Preboot eXecution Environment) på lokala arbetsstationer.
Dessa interaktioner mellan server och arbetsstationer utförs via TFTP, som står för Trivial File Transfer Protocol, en äldre och en osäker version av FTP-protokollet.
I en teknisk uppskrivning som publiceras i dag Omri Herscovici, en säkerhetsforskare på Check Point Software, sa att förra året såg han in i hur Microsoft hade genomfört detta protokoll till WDS.
Forskaren: s rapport avslöjar den faktiska bugg i hjärtat av CVE-2018-8476, den sårbarhet som Microsoft lagas i November förra året.
“Det är inte ett problem i TFTP-protokollet för sig själv, endast i genomförandet av denna tjänst,” Herscovici berättade ZDNet via e-post.
Efter att ha bråkat protokollets genomförande till WDS, forskaren fann att han kunde skapa felaktigt paket som skulle ge upphov till skadlig kod i Windows Server fall fått svar från PXE-arbetsstationer.
Eventuella angripare på det lokala nätverket, antingen fysiskt eller ha kontroll över en arbetsstation skulle kunna vidarebefordra dessa skadliga TFTP-paket, och ett effektivt sätt att ta över Windows Server, Herscovici menade.
“Teorin om den server som är utsatt för externt detta borde fungera, men denna tjänst är oftast används i ett NÄTVERK,” forskaren berättade ZDNet.
“Den största attacken flow är en port-i-väggen” -typ av brott. Det är när en angripare fysiskt ansluter sin dator till en nätverksport inom företaget – som är ett vanligt scenario”, sade han.
Om en angripare ta över Windows Server, de har full kontroll över hela det lokala nätverket, och kan lätt använda samma WDS tjänsten för att distribuera backdoored Windows-versioner till lokala system.
Varken Microsoft eller Herscovici är medveten om eventuella attacker under vilken hackare har försökt att utnyttja detta säkerhetsproblem, men med Herscovici uppskrivning nu finns allmänt tillgängliga, detta kan komma att ändras under de kommande månaderna.
Om någon Windows Server administratörer har försenat installera November 2018 säkerhetsuppdateringar på grund av olika brister detta kan vara ett bra tillfälle att fånga upp deras lapp insatser. Det finns inga lösningar eller åtgärder utanför installera säkerhetskorrigeringen.
Mer sårbarhet rapporter:
Avslöjar Google Chrome zero-day under aktiv attacksNew utnyttja låter angripare att ta kontroll över Windows IoT-Core-enheter
Googles Project Zero avslöjar zero-day macOS sårbarhet för publicAll Intel marker öppna för nya Spoiler icke-Spectre attackAdobe släpper out-of-band uppdatera för att lappa ColdFusion noll-dayGoogle Chrome bugg som används i naturen för att samla in användaruppgifter via PDF filesDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter