I ricercatori di Akamai hanno scoperto una nuova serie di attacchi contro i domini Active Directory che utilizzano server DHCP (Dynamic Host Configuration Protocol) di Microsoft. Questi attacchi, che sfruttano la configurazione predefinita del server DHCP, potrebbero permettere agli aggressori di manipolare record DNS sensibili, con gravi conseguenze come il furto di credenziali o la compromissione dell’intero dominio Active Directory.

La portata di questi attacchi è notevole poiché i server DHCP Microsoft sono estremamente diffusi, operando addirittura nel 40% delle reti monitorate da Akamai. Nonostante la segnalazione dei risultati a Microsoft, al momento non è prevista alcuna correzione.

Nel tentativo di affrontare questa minaccia, Akamai ha redatto un blogpost dettagliato nel quale fornisce agli amministratori di sistema e ai blue team le best practice per configurare in modo sicuro il server DHCP Microsoft per mitigare tali attacchi. Inoltre, nell’esplorare la pericolosa capacità degli aggressori di falsificare i record DNS, Akamai mette in luce le gravi conseguenze di queste azioni, che vanno dall’esposizione di dati sensibili alla possibilità di esecuzione remota di codice.

spoofing-dns-by-abusing-dhcp-fig-34

I ricercatori di Akamai hanno esaminato il funzionamento interno del server DHCP Microsoft, la sua interazione con DNS e Active Directory, fornendo indicazioni su come proteggere in modo efficace queste interfacce. Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.

“L’impatto degli attacchi che abbiamo evidenziato può essere molto significativo: la possibilità di sovrascrivere i record DNS senza alcuna autenticazione consente agli aggressori di ottenere una posizione machine-in-the-middle sugli host del dominio. Questo potrebbe facilmente esporre informazioni sensibili e credenziali e potrebbe anche consentire attacchi di tipo relay, permettendo agli aggressori di violare i domini AD e di aumentare i privilegi. Poiché non è prevista una soluzione per questi problemi, invitiamo i a eseguire una scansione degli ambienti utilizzando il tool Invoke-DHCPCheckup per cercare di individuare le rischiose configurazioni errate che abbiamo evidenziato. Attenzione: se non avete modificato la configurazione predefinita, siete vulnerabili”, si legge nel post di Akamai.