Teknik serangan baru dapat dijadikan senjata untuk menjerat ribuan pengendali domain publik (DC) di seluruh dunia guna membuat botnet jahat dan menggunakannya untuk melancarkan serangan penolakan layanan terdistribusi (DDoS) yang dahsyat.
Pendekatan ini diberi nama sandi Win-DDoS oleh peneliti SafeBreach Or Yair dan Shahak Morag, yang mempresentasikan temuan mereka di konferensi keamanan DEF CON 33 hari ini.
"Saat kami menelusuri seluk-beluk kode klien Windows LDAP, kami menemukan kelemahan signifikan yang memungkinkan kami memanipulasi proses rujukan URL untuk mengarahkan DC ke server korban dan membanjirinya," ujar Yair dan Morag dalam laporan yang dibagikan kepada The Hacker News.
Hasilnya, kami berhasil menciptakan Win-DDoS, sebuah teknik yang memungkinkan penyerang memanfaatkan kekuatan puluhan ribu pusat data publik di seluruh dunia untuk menciptakan botnet berbahaya dengan sumber daya dan kecepatan unggah yang sangat besar. Semua ini dilakukan tanpa membeli apa pun dan tanpa meninggalkan jejak yang dapat dilacak.
Dengan mengubah DC menjadi bot DDoS tanpa perlu eksekusi kode atau kredensial, serangan ini pada dasarnya mengubah platform Windows menjadi korban sekaligus senjata. Alur serangannya adalah sebagai berikut:
- Penyerang mengirimkan panggilan RPC ke DC yang memicu mereka untuk menjadi klien CLDAP.
- DC mengirimkan permintaan CLDAP ke server CLDAP penyerang, yang kemudian mengembalikan respons rujukan yang merujuk DC ke server LDAP penyerang untuk beralih dari UDP ke TCP.
- DC kemudian mengirimkan kueri LDAP ke server LDAP penyerang melalui TCP.
- Server LDAP penyerang merespons dengan respons rujukan LDAP yang berisi daftar panjang URL rujukan LDAP, yang semuanya mengarah ke satu port pada satu alamat IP.
- DC mengirimkan kueri LDAP pada port tersebut, yang menyebabkan server web yang mungkin dilayani melalui port tersebut menutup koneksi TCP.
"Setelah koneksi TCP dibatalkan, DC melanjutkan ke rujukan berikutnya dalam daftar, yang mengarah ke server yang sama lagi," ujar para peneliti. "Dan perilaku ini berulang hingga semua URL dalam daftar rujukan berakhir, menciptakan teknik serangan Win-DDoS inovatif kami."
Analisis lebih lanjut terhadap proses rujukan kode klien LDAP telah mengungkapkan bahwa memungkinkan untuk memicu kerusakan LSASS, reboot, atau layar biru kematian (BSoD) dengan mengirimkan daftar rujukan yang panjang ke DC dengan memanfaatkan fakta bahwa tidak ada batasan pada ukuran daftar rujukan dan rujukan tidak dilepaskan dari memori tumpukan DC hingga informasi berhasil diambil.
Win-DDoS membalikkan perilaku ini dengan menyediakan daftar rujukan ke korban yang akan ditargetkan, alih-alih membuat sistem crash dengan menyediakan sejumlah besar rujukan yang dapat menghabiskan sumber daya pengontrol domain. Hal ini membuka kemungkinan skenario di mana Pengontrol Domain publik di seluruh dunia dapat ditargetkan untuk mengirimkan paket LDAP ke IP dan port mana pun yang dipilih penyerang.
Mengingat pengontrol domain sangat bergantung pada RPC agar dapat berfungsi, khususnya untuk autentikasi, manajemen pengguna, dan manajemen layanan, SafeBreach menemukan bahwa ada kemungkinan untuk menggunakan teknik penolakan layanan (DoS) yang disebut TorpeDoS terhadap server RPC.
"TorpeDoS adalah teknik ciptaan kami yang menciptakan dampak DDoS, tetapi dari satu komputer," ujar SafeBreach kepada The Hacker News. "Teknik ini tidak menggunakan banyak komputer berbeda di seluruh dunia untuk menciptakan DDoS, melainkan hanya meningkatkan efisiensi laju panggilan RPC sedemikian rupa sehingga dampak dari satu komputer yang menerapkan TorpeDoS setara dengan dampak serangan DDoS yang dilakukan oleh puluhan ribu komputer."
Selain itu, kode yang tidak bergantung pada transportasi dan dijalankan pada permintaan klien server diketahui mengandung tiga kerentanan penolakan layanan (DoS) baru yang dapat menyebabkan pengontrol domain mogok tanpa perlu autentikasi, dan satu kelemahan DoS tambahan yang memberikan kemampuan kepada pengguna yang diautentikasi untuk menyebabkan pengontrol domain atau komputer Windows mogok di domain.
Sumber : The Hacker News
0komentar:
Post a Comment