Bl0ckch41nnewsExploit para el nuevo ataque de retransmisión NTLM "WinReg" de Windows Server
Se ha publicado una prueba de concepto de la explotación de una vulnerabilidad
en el cliente de Registro Remoto de Microsoft. Este código podría utilizarse
para tomar el control de un dominio de Windows degradando la seguridad del
proceso de autenticación.
La vulnerabilidad, identificada como CVE-2024-43532, y solucionada este mes,
aprovecha un mecanismo alternativo en la implementación del cliente del
Registro de Windows (WinReg) que se basa en protocolos de transporte antiguos
si el transporte SMB no está presente.
Un atacante que aprovechara el problema de seguridad podría transmitir la
autenticación NTLM a los Servicios de certificados de Active Directory (ADCS)
para obtener un certificado de usuario para una mayor autenticación del
dominio.
La falla afecta a todas las versiones de servidores de Windows 2008 a 2022,
así como a Windows 10 y Windows 11.
Detalles de vulnerabilidad y explotación.
CVE-2024-43532 surge de cómo el cliente de Registro remoto de Microsoft maneja
la autenticación RPC (llamada a procedimiento remoto) durante ciertos
escenarios alternativos cuando el transporte SMB no está disponible.
Cuando esto sucede, el cliente cambia a protocolos más antiguos como TCP/IP y
utiliza un nivel de autenticación débil (RPC_C_AUTHN_LEVEL_CONNECT), que no
verifica la autenticidad o integridad de la conexión.
Un atacante podría autenticarse en el servidor y crear nuevas cuentas de
administrador de dominio interceptando el protocolo de enlace de
autenticación NTLM del cliente y reenviándolo a otro servicio, como
(ADCS).
La explotación exitosa de CVE-2024-43532 da como resultado una nueva forma de
llevar a cabo un ataque de retransmisión NTLM, una que aprovecha el componente
WinReg para transmitir detalles de autenticación que podrían conducir a la
toma de control del dominio.
Algunos actores de amenazas han utilizado métodos de ataque de retransmisión
NTLM en el pasado para tomar el control de dominios de Windows. Un ejemplo es
la banda de
ransomware LockFile, que atacó a varias organizaciones en los EE.UU. y Asia utilizando
PetitPotam
poco después de su descubrimiento.
La vulnerabilidad
fue descubierta por el investigador de Akamai Stiv Kupchik, quien la reveló a Microsoft el 1 de febrero. Sin embargo, Microsoft
desestimó el informe el 25 de abril
«como un problema de documentación».
A mediados de junio, Kupchik volvió a presentar el informe con una mejor
prueba de concepto (PoC) y una explicación, lo que llevó a Microsoft a
confirmar la vulnerabilidad el 8 de julio. Tres meses después,
Microsoft lanzó una solución.
El investigador ha publicado una
PoC funcional para CVE-2024-43532
y explicó el proceso de explotación, desde la creación de un servidor de
retransmisión hasta la obtención de un certificado de usuario del objetivo,
durante la
conferencia de seguridad No Hat
en Bérgamo, Italia.
El informe de Akamai también proporciona un método para determinar si el
servicio de Registro remoto está habilitado en una máquina, así como una regla
YARA para detectar clientes que usan una WinAPI vulnerable.
Los investigadores también recomiendan utilizar Event Tracing para Windows
(ETW) para monitorear llamadas RPC específicas, incluidas aquellas
relacionadas con la interfaz WinReg RPC.
Fuente:
BC
Los comentarios están cerrados.