PCGuia Pro

PXE Dust: Descoberta falha de segurança nos Windows Servers Deployment Services

O WDS é um sistema bastante complexo e a Check Point admite ainda não entender toda a sua operação.

Check Point Software TechnologiesCheck Point Software Technologies

A equipa de investigação da Check Point Software Technologies Ltd analisou uma falha de segurança na infraestrutura dos Windows Deployment Services (WDS), soluções utilizadas pelas organizações, e detectou um bug no servidor adjacente PXE, passível de ser explorado por cibercriminosos.

O WDS é, pela própria natureza, acessível a todos através de uma porta LAN que disponibiliza o software relevante. O WDS determina o sistema operativo modificando-o para que consiga controlar o conteúdo de todos os computadores adicionados recentemente à rede.

O WDS é um sistema bastante complexo e a Check Point admite ainda não entender toda a sua operação. No entanto, propôs-se a analisar o comportamento do WDS durante uma nova instalação, uma vez que a negociação da pré-autenticação aparentava ser um vector de ataque comprometedor.

Antes de disponibilizar a imagem completa do Windows, o WDS deverá assegurar uma estratégia de inicialização de rede. Para isso, o WDS utiliza um servidor PXE (Preboot eXecution Environment). O PXE é uma acção padrão criada pela Intel que estabelece um conjunto comum de serviços de pré-inicialização dentro do firmware de inicialização.

O objectivo final é permitir que o cliente execute uma inicialização de rede e receba um Network Boot Program (NBP) de um servidor de inicialização de rede.

Para transferir um NBP, um servidor PXE usa o Trivial File Transfer Protocol (TFTP). O TFTP é um protocolo simples de transferência de ficheiros, implementado no topo dos protocolos UDP/IP, através da utilização da porta 69.

O TFTP não possui a maioria das funcionalidades avançadas que são disponibilizadas pelos protocolos de transferência de ficheiros. O protocolo suporta apenas leitura e escrita, e a sua principal utilização acontece de dentro de LANs.

A Check Point reportou a descoberta do bug à Microsoft, que depois de tomar conhecimento o designou por CVE-2018-8476 e descrito como sendo um factor crítico para a execução de código em todos os Windows Servers desde 2008 SP2.

Via: Check Point Software Technologies Ltd.

PCGuia
Este site utiliza cookies. Ao continuar a utilizá-lo estará a aceitar a nossa política de privacidade e os nossos Termos de utilização. Mais informação acerca da forma como utilizamos cookies está disponível aqui.
×