Logo: Microsoft // Sammensætning: ZDNet
I en rapport frigivet i dag, sikkerhed forskere har endelig afsløret i dybden detaljer om en fejl, som Microsoft patched sidste November, og som de siger, kan gøre det muligt for hackere at kapre Windows Server installationer og misbruger WDS (Windows Deployment Services) til at tage over serveren og endda installere backdoored Windows OS-versioner.
Ifølge Check Point, sårbarhed påvirker alle Windows Servere 2008 SP2 og nyere, og påvirker WDS komponent, der følger med disse systemer.
WDS er, hvad enterprise system administratorer bruger til at installere Windows operativsystemer på tværs af en flåde af computere fra en central placering-en Windows Server OS, hvor WDS service kører.
På det tekniske plan, dette gøres ved at køre et Netværk Boot Program (NBP), der sender pre-boot-beskeder til PXE (Preboot eXecution Environment) af lokale arbejdsstationer.
Disse interaktioner mellem server og arbejdsstationer, der er foretaget via TFTP, som står for Trivial File Transfer Protocol, en ældre og en usikker version af FTP-protokollen.
I en teknisk skrive-up, der offentliggøres i dag, blev Omri Herscovici, en sikkerhedsekspert hos Check Point Software, sagde sidste år, at han kiggede ind i, hvordan Microsoft havde gennemført denne protokol i WDS.
Forskeren ‘ s rapport afslører, at den faktiske fejl i hjertet af CVE-2018-8476, den svaghed, at Microsoft patched sidste November.
“Der er ikke et problem i TFTP-protokollen i sig selv, kun i dens gennemførelse af denne service,” Herscovici fortalte ZDNet via e-mail.
Efter fuzzing protokollens gennemførelse i WDS, forskeren fandt, at han kunne skabe forkert udformede pakker, der ville udløse en skadelig kode på Windows Server tilfælde modtages svar fra PXE-arbejdsstationer.
Enhver angriber på det lokale netværk, enten fysisk eller have kontrol over en inficeret arbejdsstation, kunne videresende disse ondsindede TFTP-pakkerne, og effektivt at overtage Windows Server, Herscovici argumenterede for.
“Teoretisk hvis serveren er udsat eksternt dette skal arbejde så godt, men denne service er som regel anvendes inden for en LAN,” forskeren fortalte ZDNet.
“Det største angreb flow er en port-i-væggen-type brud. Det er da en angriber fysisk forbinder sin bærbare computer til et netværk port inde i virksomheden, der er en fælles scenario,” sagde han.
Hvis hackere overtage Windows Server, de har fuld kontrol over hele det lokale netværk, og kan nemt bruge den samme WDS service til at implementere backdoored Windows-versioner til de lokale systemer.
Hverken Microsoft eller Herscovici er opmærksom på eventuelle angreb i løbet, som hackere har forsøgt at udnytte denne svaghed, men med Herscovici skrive-up nu almindeligt tilgængelig, dette kan ændre sig i de kommende måneder.
Hvis en Windows Server administratorer har forsinket installation af November 2018 sikkerhedsopdateringer på grund af forskellige uoverensstemmelser, kan dette være et godt tidspunkt at fange op på deres lappe indsats. Der er ingen løsning eller afhjælpninger uden at installere sikkerhedsrettelsen.
Mere sårbarhed rapporter:
Google lancerer Chrome nul-dag under aktiv attacksNew udnytte lader angribere tage kontrol over Windows IoT-Core-enheder
Google ‘ s Project Zero afslører nul-dag macOS sårbarhed over for publicAll Intel chips er åbne for nye Spoiler ikke-Spectre attackAdobe udgivelser out-of-band update til patch ColdFusion nul-dayGoogle Chrome bug, der anvendes i den vilde til at indsamle brugerdata via PDF filesDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre