Descoberta vulnerabilidade nos Windows Servers Deployment Services

A equipa de investigação da Check Point explorou as vulnerabilidades na infraestrutura do Windows Deployment Services (WDS), um dos serviços Windows mais utilizados pelas organizações, e detetou um bug crítico no servidor adjacente PXE. Este é um bug acionado através da utilização remota do servidor e é passível de ser explorado por cibercriminosos não autenticados.

O Windows Deployment Services é utilizado por muitas organizações de grandes dimensões para a instalação de sistemas operativos personalizados em novas máquinas que se encontrem na rede. O Windows Deployment Services é, pela própria natureza, acessível a todos através de uma porta LAN que disponibiliza o software relevante. O WDS determina, não só, o sistema operativo modificando-o para que consiga controlar o conteúdo de todos os computadores adicionados recentemente à rede, como também pode equipar com malware próprio e exclusivo.

O WDS é um sistema bastante complexo e a Check Point admite ainda não entender toda a sua operação. No entanto, propôs-se a analisar o comportamento do WDS durante uma nova instalação, uma vez que a negociação da pré-autenticação aparentava ser um vetor de ataque comprometedor.

Antes de disponibilizar a imagem completa do Windows, o WDS deverá assegurar uma estratégia de inicialização de rede. Para isso, o WDS utiliza um servidor PXE (Preboot eXecution Environment). O PXE é uma ação padrão criada pela Intel que estabelece um conjunto comum de serviços de pré-inicialização dentro do firmware de inicialização. O objetivo final é permitir que o cliente execute uma inicialização de rede e receba um Network Boot Program (NBP) de um servidor de inicialização de rede.

O WDS é um serviço dos servidores Windows, amplamente utilizado para a instalação de distribuição de imagens. O seu servidor subjacente, o PXE tinha um bug crítico que se acionava após a sua utilização remota, que pode ser vir a ser explorado por um cibercriminoso não autenticado. A Check Point divulgou a deteção do bug e reportou-a à Microsoft, que depois de tomar conhecimento o descreveu como sendo um fator crítico para a execução de código em todos os Windows Servers desde 2008 SP2.

Devido a restrições de tempo, a Check Point foi impossibilitada de continuar a exploração do bug, no entanto, juntamente com a Microsoft, acreditam que este se trata de um bug explorável.