Microsoft Active Directory系統中存在嚴重威脅

Akamai 的安全研究人員 發現Microsoft Active Directory 系統中存在嚴重威脅。針對這些系統的攻擊可能允許攻擊者欺騙 DNS 記錄、破壞 Active Directory 並竊取其中存儲的機密。

這些攻擊對於運行標準 Microsoft 動態主機配置協議 ( DHCP ) 配置的服務器尤其危險。值得注意的是,它們不需要用戶憑據。

Akamai 向 Microsoft 報告了該問題,但據知情人士稱,Microsoft沒有計劃修復此缺陷。

微軟尚未就此事回應記者的詢問。

雖然沒有伺服器受到此類攻擊的報告,但 Akamai 警告說,鑒於他們監控的數千個網絡中有 40% 使用易受攻擊的 Microsoft DHCP 配置,因此許多組織可能容易受到攻擊。

此外,Akamai 還為系統管理員提供了一個工具來幫助檢測易受攻擊的配置。

Akamai 研究人員(包括 Ori David) 透露 ,駭客能夠從 DHCP 服務器提取信息、識別有風險的 DNS 記錄、更改它們,從而破壞 Active Directory 域。這些結論是基於之前對類似漏洞的研究。

問題是通過 DHCP 更新 DNS 記錄不需要客戶端身份驗證。這使得攻擊者無需任何憑據即可使用 DHCP 服務器向 DNS 服務器進行身份驗證。

除了創建不存在的 DNS 記錄之外,攻擊者還可以覆蓋現有數據,包括 ADI 區域中的 DNS 記錄,尤其是在域控制器上安裝了 DHCP 服務器的情況下。據 Akamai 稱,他們監控的 57% 的網絡都會出現這種情況。

專家督促組織禁用 DHCP DNS 動態更新功能並避免使用 DNSUpdateProxy 組,以最大程度地降低風險。