在今天发布的一份报告中,安全研究人员终于披露了有关Microsoft去年11月修补的一个错误的详细信息,他们说这些错误可以使黑客劫持Windows Server安装并滥用Windows部署服务(WDS)来接管服务器。甚至部署后门Windows OS版本。
根据Check Point的说法,该漏洞影响所有Windows Servers 2008 SP2和更高版本,并影响这些系统附带的WDS组件。
WDS是企业系统管理员用来从中央位置(运行WDS服务的Windows Server操作系统)跨一系列计算机部署Windows操作系统的工具。
在技术级别上,这是通过运行网络启动程序(NBP)来完成的,该程序将预启动消息发送到本地工作站的PXE(预启动执行环境)。
服务器和工作站之间的这些交互是通过TFTP进行的,TFTP表示琐碎的文件传输协议,这是FTP协议的较旧且不安全的版本。
Check Point Software的安全研究员Omri Herscovici在今天发表的一篇技术文章中说,去年他研究了微软如何在WDS中实现该协议。
研究人员的报告揭示了CVE-2018-8476核心的实际错误,该漏洞是Microsoft去年11月修补的漏洞。
Herscovici 通过电子邮件告诉ZDNet: “ TFTP协议本身没有问题,仅在此服务的实现方面有问题。”
在将该协议的实现模糊化到WDS中之后,研究人员发现他可以创建格式错误的数据包,这些数据包将在接收来自PXE工作站响应的Windows Server实例上触发恶意代码执行。
Herscovici辩称,本地网络上的任何攻击者,无论是物理上还是对受感染工作站的控制,都可以中继这些恶意TFTP数据包,并有效地接管Windows Server。
研究人员告诉ZDNet: “从理论上讲,如果服务器暴露在外部,那么它也应该可以正常工作,但是该服务通常在LAN内部使用。”
他说:“主要的攻击流程是墙入式攻击。这是攻击者将笔记本电脑物理连接到公司内部的网络端口时的情况,这是常见的情况。”
如果攻击者接管Windows Server,则他们可以完全控制整个本地网络,并且可以轻松地使用相同的WDS服务将后门Windows版本部署到本地系统。
微软和Herscovici都没有意识到黑客试图利用此漏洞进行的任何攻击,但是由于Herscovici的内容现已公开,因此在未来几个月中可能会有所改变。
如果由于各种不兼容性而导致Windows Server管理员延迟安装2018年11月安全更新,那么这可能是赶上他们的补丁工作的好时机。安装此安全补丁程序之外,没有其他解决方法或缓解措施。