2019-3-27
A equipa da Check Point explorou uma série de vulnerabilidades na infraestrutura do Windows Deployment Services e detetou um bug crítico no servidor adjacente PXE
A equipa de investigação da Check Point explorou as vulnerabilidades na infraestrutura do Windows Deployment Services (WDS), um dos serviços Windows mais utilizados pelas organizações, e detetou um bug crítico no servidor adjacente PXE. Este é um bug acionado através da utilização remota do servidor e é passível de ser explorado por cibercriminosos não autenticados. O Windows Deployment Services é utilizado por muitas organizações de grandes dimensões para a instalação de sistemas operativos personalizados em novas máquinas que se encontrem na rede. O Windows Deployment Services é, pela própria natureza, acessível a todos através de uma porta LAN que disponibiliza o software relevante. O WDS determina, não só, o sistema operativo modificando-o para que consiga controlar o conteúdo de todos os computadores adicionados recentemente à rede, como também pode equipar com malware próprio e exclusivo. O WDS é um sistema bastante complexo e a Check Point admite ainda não entender toda a sua operação. No entanto, propôs-se a analisar o comportamento do WDS durante uma nova instalação, uma vez que a negociação da pré-autenticação aparentava ser um vetor de ataque comprometedor. Antes de disponibilizar a imagem completa do Windows, o WDS deverá assegurar uma estratégia de inicialização de rede. Para isso, o WDS utiliza um servidor PXE (Preboot eXecution Environment). O PXE é uma ação padrão criada pela Intel que estabelece um conjunto comum de serviços de pré-inicialização dentro do firmware de inicialização. O objetivo final é permitir que o cliente execute uma inicialização de rede e receba um Network Boot Program (NBP) de um servidor de inicialização de rede. O WDS é um serviço dos servidores Windows, amplamente utilizado para a instalação de distribuição de imagens. O seu servidor subjacente, o PXE tinha um bug crítico que se acionava após a sua utilização remota, que pode ser vir a ser explorado por um cibercriminoso não autenticado. A Check Point divulgou a deteção do bug e reportou-a à Microsoft, que depois de tomar conhecimento o descreveu como sendo um fator crítico para a execução de código em todos os Windows Servers desde 2008 SP2. Devido a restrições de tempo, a Check Point foi impossibilitada de continuar a exploração do bug, no entanto, juntamente com a Microsoft, acreditam que este se trata de um bug explorável. |