Segurança especialistas da Akamai Technologies descobriram uma série de vulnerabilidades nos domínios do Active Directory da Microsoft que podem permitir invasores falsifiquem registros DNS, comprometam o diretório e potencialmente adquiram informações confidenciais. As falhas identificadas existem nas configurações padrão do Microsoft Dynamic Host Configuration Protocol servidores (DHCP) que não necessitam de qualquer forma de credenciais para exploração.
O perigo de ataques não autenticados
De acordo com as descobertas da Akamai, o ataque , rotulado como “DDSpoof”para DHCP DNS Spoof, permite que invasores cibernéticos coletem dados essenciais de servidores DHCP, reconheçam registros DNS vulneráveis, substituam-nos e utilizem esse recurso para comprometer domínios do Active Directory (AD).
Akamai’s pesquisa baseada em trabalhos anteriores de Kevin Roberton da NETSPI, acrescentando profundidade ao preocupações em torno da exploração da zona DNS. A equipe de pesquisa de segurança da empresa, liderada por Ori David, destacou que em cenários em que os servidores DHCP são instalados em controladores de domínio – uma configuração presente em mais da metade das redes monitoradas – a substituição dos registros DNS existentes é especialmente prejudicial.
Recomendações e resposta da Microsoft
As organizações são aconselhadas a tomar medidas preventivas, desativando as atualizações dinâmicas de DNS do DHCP e evitando o uso do DNSUpdateProxy, um recurso auxiliar que também foi identificado como problemático. Apesar do reconhecimento da Microsoft dos riscos em seus documentação, tem havido uma falta de consciência sobre a gravidade dessas falhas. Como a vulnerabilidade permanece sem solução, a posição da Microsoft permanece desconhecida, uma vez que a gigante tecnológica não respondeu às perguntas sobre este problema específico. A Akamai assumiu uma postura ativa ao fornecer ferramentas aos administradores de sistemas para detectar configurações que possam estar em risco e planeja publicar códigos que demonstrem como os ataques mencionados podem ser implementados.
O impacto desses descuidos de segurança é significativo. , visto que uma fração considerável das redes pode estar exposta a acesso não autorizado e roubo de dados. A Microsoft ainda não emitiu uma declaração oficial ou atualização sobre possíveis soluções para essas vulnerabilidades, deixando muitas organizações dependentes de conselhos de mitigação de profissionais de segurança nesse ínterim. Especialistas em segurança continuam monitorando a situação e incentivam os administradores a reavaliarem suas configurações de rede para evitar possíveis violações de segurança.
