Akamai виявила експлойт в Active Directory

Як повідомляє Akamai Technologies, поєднання системи доменних імен, Active Directory та протоколу динамічної конфігурації хостів (DHCP) є потенційною загрозою для кібербезпеки компаній.

 

У своєму блозі Орі Девід (Ori David), дослідник Akamai Technologies, зазначив, що проблема пов’язана з тим, як Microsoft зібрала динамічні оновлення DHCP DNS. 

 

Функція динамічного оновлення дозволяє DHCP-серверу створювати або модифікувати записи DNS для будь-якого підключеного клієнта. Ключовими словами в цьому реченні - і суттю загрози - є «модифікувати» і «будь-який», оскільки вони дають потенційному зловмиснику всілякі можливості. Це відбувається тому, що за задумом, а не через баг чи іншу помилку Microsoft, ці динамічні оновлення відбуваються без будь-якої подальшої автентифікації з боку клієнта.

 

«З динамічними оновленнями DHCP DNS ми отримуємо найкраще з обох світів - атака працює на жертви за межами локальної мережі і не вимагає ніякої автентифікації, - наголосив Орі Девід. - Дослідники Akamai також змогли перезаписати існуючі DNS-записи, і таким чином отримати можливість відправляти мережевий трафік на свої власні сервери».

 

Зазначається, що кількість потенційно постраждалих організацій може бути значною, враховуючи популярність служб Microsoft DHCP. За оцінками Девіда, вони працюють у 40% всіх мереж, які відстежує Akamai, багато з яких знаходяться у великих корпоративних центрах обробки даних.

 

У блозі Akamai детально описано, як створити експлойт, а також надано багато інформації про те, як запобігти його використанню, наприклад, відключити динамічні оновлення DHCP DNS і уникати використання проксі-груп для оновлення DNS. Частково проблема полягає й в тому, що Akamai повідомила про свої знахідки Microsoft, але вона не планує виправляти проблему.

 

Однією з проблем є підтримка застарілих клієнтів Windows NTv4.0. Akamai згадує спеціальний інструмент PowerShell, який можна використовувати для перевірки потенційних ризиків, пов’язаних з неправильною конфігурацією DNS.

 

«Вплив атак, про які ми говорили, може бути дуже значним - можливість перезаписати DNS без будь-якої автентифікації дозволяє зловмисникам отримати доступ до хостів в домені, - підкреслив Орі Девід. - У більшості випадків можливість перехоплення зв’язку, призначеного для DHCP-сервера, може бути використана для перехоплення облікових даних та їх передачі або перехоплення конфіденційного трафіку інших служб, які можуть бути встановлені на сервері. Це може легко призвести до витоку конфіденційної інформації та дозволити зловмисникам зламати домени AD і підвищити рівень привілеїв». 

 

https://www.akamai.com/blog/security-research/spoofing-dns-by-abusing-dhcp