Un cod de exploit pentru un concept de probă a fost făcut public pentru o vulnerabilitate în clientul Remote Registry al Microsoft care ar putea fi folosit pentru a prelua controlul unui domeniu Windows prin degradarea securității procesului de autentificare.
Vulnerabilitatea este urmărită ca CVE-2024-43532 și profită de un mecanism de rezervă în implementarea clientului Windows Registry (WinReg) care se bazează pe protocoale de transport vechi dacă transportul SMB nu este prezent.
Un atacator care exploatează problema de securitate ar putea relua autentificarea NTLM către Active Directory Certificate Services (ADCS) pentru a obține un certificat de utilizator pentru o autentificare ulterioară a domeniului.
Defectul afectează toate versiunile server Windows din 2008 până în 2022, precum și Windows 10 și Windows 11.
CVE-2024-43532 provine din modul în care clientul Remote Registry al Microsoft gestionează autentificarea RPC (Remote Procedure Call) în anumite scenarii de rezervă atunci când transportul SMB nu este disponibil.
Când se întâmplă acest lucru, clientul trece la protocoale mai vechi precum TCP/IP și folosește un nivel de autentificare slab (RPC_C_AUTHN_LEVEL_CONNECT), care nu verifică autenticitatea sau integritatea conexiunii.
Un atacator ar putea autentifica serverul și crea noi conturi de administrator de domeniu interceptând strângerea de mână de autentificare NTLM de la client și redirecționând-o către un alt serviciu, cum ar fi (ADCS).
Exploatarea cu succes a CVE-2024-43532 duce la o nouă modalitate de a efectua un atac de releu NTLM, unul care folosește componenta WinReg pentru a redirecționa detaliile de autentificare care ar putea duce la preluarea domeniului.
Unii actori de amenințare au folosit metode de atac de releu NTLM în trecut pentru a prelua controlul domeniilor Windows. Un exemplu este grupul de ransomware LockFile, care a vizat organizații variate din SUA și Asia folosind PetitPotam imediat după ce a fost descoperit.
Vulnerabilitatea a fost descoperită de cercetătorul Akamai Stiv Kupchik, care a dezvăluit-o companiei Microsoft la 1 februarie. Cu toate acestea, Microsoft a respins raportul la 25 aprilie „ca problemă de documentare”.
La mijlocul lunii iunie, Kupchik a retrimis raportul cu un concept de probă (PoC) și o explicație mai bună, ceea ce a dus la confirmarea vulnerabilității de către Microsoft la 8 iulie. Trei luni mai târziu, Microsoft a lansat o soluție.
Cercetătorul a lansat acum un PoC funcțional pentru CVE-2024-43532 și a explicat procesul de exploatare, de la crearea unui server de releuri la obținerea unui certificat de utilizator de la țintă, în cadrul conferinței de securitate No Hat din Bergamo, Italia.
Raportul Akamai oferă, de asemenea, o metodă pentru a determina dacă serviciul Remote Registry este activat pe o mașină, precum și o regulă YARA pentru a detecta clienții care folosesc un WinAPI vulnerabil.
Cercetătorii recomandă, de asemenea, utilizarea Event Tracing for Windows (ETW) pentru a monitoriza anumite apeluri RPC, inclusiv cele legate de interfața RPC WinReg.
Palo Alto Networks avertizează despre bug-uri de captare a firewall-ului cu exploit public
Defectul critic de progres WhatsUp RCE acum este sub exploatările active
Hackerii vizează WhatsUp Gold cu un exploit public începând din august
Codul de exploit a fost lansat pentru defectul critic Ivanti RCE, acum trebuie instalat patch-ul
Microsoft rezolvă o problemă Word care șterge documentele la salvare
Leave a Reply