I ricercatori di Akamai hanno scoperto una nuova serie di attacchi contro i domini Active Directory che utilizzano server DHCP (Dynamic Host Configuration Protocol) di Microsoft. Questi attacchi, che sfruttano la configurazione predefinita del server DHCP, potrebbero permettere agli aggressori di manipolare record DNS sensibili, con gravi conseguenze come il furto di credenziali o la compromissione dell’intero dominio Active Directory.
La portata di questi attacchi è notevole poiché i server DHCP Microsoft sono estremamente diffusi, operando addirittura nel 40% delle reti monitorate da Akamai. Nonostante la segnalazione dei risultati a Microsoft, al momento non è prevista alcuna correzione.
Nel tentativo di affrontare questa minaccia, Akamai ha redatto un blogpost dettagliato nel quale fornisce agli amministratori di sistema e ai blue team le best practice per configurare in modo sicuro il server DHCP Microsoft per mitigare tali attacchi.
Inoltre, nell’esplorare la pericolosa capacità degli aggressori di falsificare i record DNS, Akamai mette in luce le gravi conseguenze di queste azioni, che vanno dall’esposizione di dati sensibili alla possibilità di esecuzione remota di codice.
I ricercatori di Akamai hanno esaminato il funzionamento interno del server DHCP Microsoft, la sua interazione con DNS e Active Directory, fornendo indicazioni su come proteggere in modo efficace queste interfacce. Akamai continuerà a monitorare queste e altre minacce e daranno ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.