Akamai предупреждает, что множество сетей подвержены риску атак, которые могут подделывать DNS-записи и украсть секреты из Active Directory, а Microsoft не собирается устранять этот недостаток.
Специалисты по безопасности из компании Akamai обнаружили серьезную угрозу в системах Microsoft Active Directory. Атаки, нацеленные на эти системы, могут позволить злоумышленникам подделывать DNS-записи, компрометировать Active Directory и украсть хранящиеся в ней секреты.
Атаки особенно опасны для серверов, работающих в стандартной конфигурации Microsoft Dynamic Host Configuration Protocol (DHCP). Примечательно, что для их осуществления не требуются учетные данные пользователя.
Компания Akamai сообщила о проблеме в Microsoft, но последняя, по данным источников, не планирует устранять этот недостаток. Microsoft пока не отреагировала на запросы журналистов по этому поводу.
Несмотря на то что пока нет сообщений о серверах, подвергшихся такой атаке, эксперты Akamai предупреждают, что множество организаций могут быть уязвимы, учитывая, что 40% из тысяч сетей, отслеживаемых Akamai, используют уязвимую конфигурацию Microsoft DHCP.
Кроме того, Akamai предоставила инструмент для системных администраторов, который поможет обнаружить уязвимые конфигурации.
Исследователи из Akamai, среди которых Ори Дэвид, раскрыли , что хакеры имеют возможность извлекать информацию с DHCP-серверов, выявлять подверженные риску DNS-записи, изменять их и таким образом нарушать работу доменов Active Directory. Данные выводы основываются на ранее проведенных исследованиях подобных уязвимостей.
Проблема заключается в том, что для обновления DNS-записей через DHCP не требуется аутентификация клиента. Это позволяет злоумышленникам использовать DHCP-сервер для аутентификации на DNS-сервере без каких-либо учетных данных.
В дополнение к созданию несуществующих DNS-записей, злоумышленники могут перезаписывать существующие данные, включая DNS-записи в зоне ADI, особенно если DHCP-сервер установлен на контроллере домена. По данным Akamai, это случается в 57% отслеживаемых ими сетей.
Эксперты призывают организации отключить функцию DHCP DNS Dynamic Updates и избегать использования группы DNSUpdateProxy, чтобы минимизировать риски.
Ладно, не доказали. Но мы работаем над этим