اخیرأ مجموعهای از حملات شناسایی شدهاند که دامنههای Microsoft Active Directory را مورد هدف قرار میدهند. این حملات میتواند مهاجمان را قادر سازد تا سوابق DNS را دستکاری، Active Directory را به خطر اندازد و دسترسی به اطلاعات حساس ذخیره شده در آن را فراهم سازد. این آسیبپذیریها با استفاده از پیکربندی پیشفرض سرورهای Microsoft Dynamic Host Configuration Protocol (DHCP) قابل بهرهبرداری هستند. در حال حاضر، هیچ برنامهای از سوی مایکروسافت جهت رفع این نقص امنیتی وجود ندارد. همچنین، محققان هیچ حمله فعالی را با استفاده از این آسیبپذیریها مشاهده نکردهاند، آنها تأکید میکنند که تعداد قابل توجهی از سازمانها ممکن است در معرض خطر باشند.
وقتی سرور DHCP یک رکورد DNS را برای مشتریان ثبت میکند یا تغییر میدهد، از DNS Dynamic Updates برای این کار استفاده میکند. به عبارت دیگر،DHCP DNS Dynamic Updates بدون نیاز به احرازهویت توسط مشتری، فعال شده و سرورهای DHCP این ویژگی را به صورت پیشفرض فعال میکنند. مهاجم میتواند از سرور DHCP جهت اعتبارسنجی در سرور DNS به نفع خودش استفاده کند. به عبارت دیگر، مهاجم میتواند بدون نیاز به احراز هویت، دسترسی بهADIDNS را بهدست آورد.
توصیههای امنیتی
جهت جلوگیری از مخاطرات احتمالی این آسیبپذیری، رعایت نکات زیر حائز اهمیت میباشد:
- غیرفعال کردن قابلیت DHCP DNS Dynamic Updates در سرور DHCP، جهت محدود کردن حملات احتمالی.
- عدم استفاده از DNSUpdateProxy و غیرفعال کردن این ویژگی به طور دائم.
منبع خبر:
https://www.theregister.com/2023/12/07/attacks_abuse_microsoft_dhcp/
- 107