Кибер аюулгүй байдлын судлаачид Microsoft-ын Windows Remote Procedure Call (RPC) холбооны протокол дахь аюулгүй байдлын асуудалтай холбоотой шинэ олдворуудыг танилцууллаа. Энэ нь халдагчид хуурамчаар халдлага үйлдэж, мэдэгдэж буй серверийн дүрд хувирч болзошгүй юм.
CVE-2025-49760 (CVSS оноо: 3.5) гэж бүртгэгдсэн эмзэг байдлыг технологийн аварга компани Windows Storage хуурамчаар үйлдэх алдаа гэж тодорхойлсон. Үүнийг 2025 оны 7-р сард сар бүрийн Мягмар гарагийн засварын шинэчлэлтийн хүрээнд зассан. Энэ долоо хоногт болсон DEF CON 33 аюулгүй байдлын бага хурал дээр SafeBreach-ийн судлаач Рон Бен Йижак аюулгүй байдлын согогийн талаарх дэлгэрэнгүй мэдээллийг хуваалцсан.
"Windows Storage дахь файлын нэр эсвэл замын гаднах хяналт нь эрх бүхий халдагчдад сүлжээгээр хууран мэхлэх боломжийг олгодог" гэж тус компани өнгөрсөн сард гаргасан зөвлөмжид дурджээ.
Windows RPC протокол нь бүх нийтийн өвөрмөц танигч (UUIDs) болон Endpoint Mapper (EPM) ашиглан үйлчлүүлэгч-серверийн харилцаанд динамик төгсгөлийн цэгүүдийг ашиглах, RPC клиентийг серверээр бүртгэгдсэн төгсгөлийн цэгт холбох боломжийг олгодог.
Энэ эмзэг байдал нь үндсэндээ RPC протоколын үндсэн бүрэлдэхүүн хэсгийг удирдах, EPM-ийн хордлогын халдлага гэж нэрлэгдэх боломжийг бүрдүүлдэг бөгөөд энэ нь эрх мэдэлгүй хэрэглэгчдэд халдагчийн сонгосон дурын серверийн эсрэг нэвтрэлт танилтыг баталгаажуулахын тулд хамгаалагдсан процессыг албадан хууль ёсны, суурилагдсан үйлчилгээ мэт харуулах боломжийг олгодог.
EPM-ийн үйл ажиллагаа нь Домэйн Нэрийн Систем (DNS)-тэй ижил төстэй байдаг - энэ нь интерфейсийн UUID-ийг төгсгөлийн цэг рүү буулгадаг, DNS нь домэйныг IP хаягаар шийддэг - халдлага нь DNS-ийн хордлоготой адил бөгөөд аюул заналхийлэгч нь DNS өгөгдлийг ашиглан хэрэглэгчдийг хортой вэбсайт руу дахин чиглүүлдэг -
- EPM-ийг хордуулна
- Хууль ёсны RPC сервер болгон хувиргах
- RPC үйлчлүүлэгчдийг удирдах
- ESC8 довтолгоогоор орон нутгийн/домэйн давуу эрхийг нэмэгдүүлэх
"Үндсэн үйлчилгээнд хамаарах мэдэгдэж байгаа, суурилуулсан интерфейсийг бүртгүүлэхэд юу ч саад болоогүйг олж мэдээд цочирдсон" гэж Бен Йижак The Hacker News-тэй хуваалцсан тайландаа хэлэв. "Жишээ нь, хэрэв Windows Defender өвөрмөц танигчтай бол өөр ямар ч процесс үүнийг бүртгэх боломжгүй болно гэж би бодож байсан. Гэхдээ тийм биш байсан."
"Би унтраасан үйлчилгээний интерфэйсийг бүртгүүлэх гэж оролдох үед түүний үйлчлүүлэгч надтай холбогдсон. Энэ нь үнэхээр итгэмээргүй зүйл байлаа - EPM-ээс аюулгүй байдлын шалгалт хийгдээгүй. Энэ нь үйлчлүүлэгчдийг админы эрхээр ч ажиллаагүй үл мэдэгдэх процесст холбосон."
Довтолгооны гол зорилго нь гүйцэтгэлийн шалтгаанаар олон үйлчилгээг "хожруулсан эхлүүлэх" горимд тохируулсан тул системийг ачаалсны дараа шууд бүртгүүлж болох, мөн ачаалах процессыг хурдасгах боломжтой интерфейсүүдийг олоход оршино.
Өөрөөр хэлбэл, гараар эхлүүлсэн аливаа үйлчилгээ нь аюулгүй байдлын эрсдэлтэй байдаг, учир нь RPC интерфейс нь ачаалах үед бүртгэгдээгүй тул халдагчид анхдагч үйлчилгээнээс өмнө интерфэйс бүртгүүлэх боломжийг олгодог.
SafeBreach нь RPC-Racer хэмээх хэрэгслийг гаргасан бөгөөд энэ нь найдвартай биш RPC үйлчилгээг (жишээ нь: Хадгалах үйлчилгээ эсвэл StorSvc.dll) дарцаглаж, хамгаалагдсан процессын гэрэл (PPL) процессыг (жишээ нь, Хүргэлтийн оновчтой болгох үйлчилгээ эсвэл DoSvc.dll) ямар ч серверийн халдлагын эсрэг автоматаар удирдахад ашиглаж болно.
PPL технологи нь үйлдлийн систем нь зөвхөн итгэмжлэгдсэн үйлчилгээ, процессуудыг ачаалж, ажиллаж байгаа процессуудыг халах эсвэл хортой кодоор халдварлахаас хамгаалдаг. Үүнийг Microsoft Windows 8.1 хувилбараар нэвтрүүлсэн.
Өндөр түвшинд халдлагын бүх дараалал дараах байдалтай байна.
- Одоогийн хэрэглэгч нэвтэрсэн үед гүйцэтгэх хуваарьтай даалгавар үүсгэ
- Хадгалах үйлчилгээний интерфейсийг бүртгүүлнэ үү
- Хүргэлтийн оновчлолын үйлчилгээг идэвхжүүлснээр Хадгалах үйлчилгээ рүү RPC хүсэлт илгээж, халдагчийн динамик төгсгөлтэй холбогдоно.
- GetStorageDeviceInfo() аргыг дуудаж, Хүргэлтийн оновчтой болгох үйлчилгээ нь халдагчийн тохируулсан хуурамч серверт SMB-ийн хувьцааг хүлээн авахад хүргэдэг.
- Хүргэлтийн оновчлолын үйлчилгээ нь машины дансны итгэмжлэл бүхий хортой SMB серверийг баталгаажуулж, NTLM хэшийг алдагдуулдаг.
- Албадан авсан NTLM хэшүүдийг вэбд суурилсан гэрчилгээ бүртгүүлэх үйлчилгээнд (AD CS) шилжүүлж, давуу эрхийг нэмэгдүүлэхийн тулд ESC8 халдлага үйлдээрэй.
Үүнийг хэрэгжүүлэхийн тулд Certipy гэх мэт доромжилсон нээлттэй эхийн хэрэглүүрийг AD CS сервер рүү NTLM мэдээллийг дамжуулах замаар үүсгэсэн сертификатыг ашиглан Kerberos Ticket Granting Ticket (TGT) хүсэх, дараа нь домэйн хянагчаас бүх нууцыг арилгахын тулд хөшүүргийг ашиглах боломжтой.
SafeBreach нь EPM-ийн хордлогын техникийг цаашид өргөжүүлж, дунд дахь дайсан (AitM) болон үйлчилгээг үгүйсгэх (DoS) халдлага хийх боломжтой бөгөөд хүсэлтийг анхны үйлчилгээ рүү дамжуулах эсвэл олон интерфейсийг бүртгэж, хүсэлтийг тус тус үгүйсгэж болно. Кибер аюулгүй байдлын компани нь EPM-ийн хордлогод өртөмтгий бусад үйлчлүүлэгчид болон интерфейсүүд байж болохыг онцлон тэмдэглэв.
Эдгээр төрлийн халдлагуудыг илүү сайн илрүүлэхийн тулд хамгаалалтын бүтээгдэхүүнүүд RpcEpRegister руу хийсэн дуудлагыг хянаж, хэрэглэгчийн горимын програмууд болон цөмийн горимын драйверуудаас үүсгэсэн үйл явдлыг бүртгэдэг хамгаалалтын функц болох Windows-д зориулсан Event Tracing (ETW)-ийг ашиглах боломжтой.
"SSL pinning нь гэрчилгээ нь хүчинтэй төдийгүй тодорхой нийтийн түлхүүр ашигладаг болохыг баталгаажуулдагтай адил RPC серверийн таних тэмдгийг шалгах хэрэгтэй" гэж Бен Йижак хэлэв.
"Төгсгөлийн цэгийн зураглагчийн (EPM) одоогийн загвар нь энэ баталгаажуулалтыг хийхгүй байна. Энэ баталгаажуулалтгүйгээр үйлчлүүлэгчид үл мэдэгдэх эх сурвалжаас авсан өгөгдлийг хүлээн авах болно. Энэ өгөгдөлд сохроор итгэх нь халдагчид үйлчлүүлэгчийн үйлдлийг хянаж, халдагчийн хүсэлд нийцүүлэн удирдах боломжийг олгодог."
source: https://thehackernews.com/
