Microsoft’un bildirildiği gibi, davranışın amaçlandığı gibi çalıştığını ve bunun yerine azaltma tavsiyesi sunduğunu bildiriyor
Güvenlik araştırmacılarına göre, Microsoft Office Online Server çalıştıran Windows sunucuları, sunucu tarafı istek sahteciliği (SSRF) ve ardından ana bilgisayarda uzaktan kod yürütme (RCE) gerçekleştirmek için kullanılabilir.
MDSec’ten araştırmacılar, Microsoft Güvenlik Müdahale Merkezi’ni bulguları hakkında bilgilendirdiklerini, ancak savunmasız davranışın bir hata değil, Office Online Server’ın bir özelliği olduğunu ve bu nedenle düzeltilmeyeceğini söylediler.
En son Microsoft güvenlik haberlerinin devamını okuyun
MDSec’e göre, Microsoft bunun yerine yöneticilere internete bağlı Office Online ana bilgisayarlarına yönelik saldırılardan kaçınmak için “en az ayrıcalığa sahip olmak için bu çiftlikteki bağlantı noktalarını ve tüm hesapları kilitlemelerini” tavsiye etti.
Yöneticiler ayrıca, sunucuya saldırmak için kullanılan özellik olan UNC yolları aracılığıyla dosyalara erişimi engellemek için hizmetin bayrağını false olarak ayarlayabilir.
SSRF
Office Online Server, Word, Excel, PowerPoint ve OneNote’un tarayıcı tabanlı sürümlerini sağlayan bir ASP.NET hizmetidir. Office Online; SharePoint, Exchange Server, paylaşılan klasörler ve web siteleri aracılığıyla Office dosyalarına erişim sağlar.
Office Online, uzak kaynaklardan belge almak için bir .aspx sayfasına sahiptir. Saldırganlar, güvenlik firması MDSec’in teknik bir yazısına göre, sunucu aracılığıyla uzak kaynaklara bağlantı başlatmak ve SSRF gerçekleştirmek için bu uç noktayı kullanabilir.
Örneğin, araştırmacılar, sunucunun yerel ağının cihazlarının parmak izini almak için sayfaya kimliği doğrulanmamış istekler gönderebileceklerini buldular. Yanıtın zamanlamasına bağlı olarak, sunucunun ağındaki etkin IP adreslerini belirleyebilirler.
RCE
Saldırganlar, Office Online Sunucusunun erişebileceği bir SMB sunucusunu kontrol ederlerse hatadan daha fazla yararlanabilir.
Office Online Server, uzak kaynaklara bağlantı başlatmak için makine hesabını kullanır. Araştırmacılar, SMB sunucularında bir belge almak için uç noktayı kullanırken, sunucuyu bağlantıyı Active Directory Sertifika Hizmetleri’ne (ACDS) aktarmaya zorlamak ve Active Directory ağı için bir istemci sertifikası almaya zorlamak için ntlmrelayx aracını kullanabilirler.
Bu sertifikayı kullanarak, Office Online Server ana bilgisayarına bir Bilet Verme Bileti (TGT) – bir oturum açma oturumu belirteci – alabildiler. Sunucuya sahte bir hizmet bileti oluşturmak için bir S4U2Self isteği göndermek için TGT’yi kullandılar. Bu, ana bilgisayara yerel yönetici erişimi elde etmelerine izin verdi.
Araştırmacıların bulgularına göre, uç nokta bağlantısını LDAP hizmetine aktararak ve gölge kimlik bilgisi saldırısı gerçekleştirerek sunucuya uzaktan erişim elde etmenin başka bir yolu vardı.
Günlük Swig yorumlar için Microsoft’a ulaştı. Geri duyarsak bu yayını güncelleyeceğiz.
BUNU DA BEĞENEBİLİRSİN Adobe, siteleri devralma riskine sokan kritik Magento XSS yamaları