Um código de exploit de conceito de prova (Proof-of-Concept - PoC) agora é público para uma vulnerabilidade no cliente Remote Registry da Microsoft, que pode ser usada para tomar controle de um domínio Windows ao rebaixar a segurança do processo de autenticação.
A vulnerabilidade é rastreada como
CVE-2024-43532
e aproveita um mecanismo de fallback na implementação do cliente Windows Registry (WinReg) que depende de protocolos de transporte antigos se o transporte SMB não estiver presente.
Um atacante explorando a questão de segurança poderia redirecionar a autenticação NTLM para os Serviços de Certificado do Active Directory (ADCS) para obter um certificado de usuário para autenticação de domínio adicional.
A falha afeta todas as versões do servidor Windows de 2008 a 2022, assim como Windows 10 e Windows 11.
CVE-2024-43532
origina-se de como o cliente Remote Registry da Microsoft lida com a autenticação RPC (Chamada de Procedimento Remoto) durante certos cenários de fallback quando o transporte SMB está indisponível.
Quando isso acontece, o cliente muda para protocolos mais antigos, como TCP/IP, e utiliza um nível de autenticação fraco (RPC_C_AUTHN_LEVEL_CONNECT), que não verifica a autenticidade ou integridade da conexão.
Um atacante poderia se autenticar no servidor e criar novas contas de administrador de domínio interceptando o handshake de autenticação NTLM do cliente e encaminhando-o para outro serviço, como o ADCS.
Explorar com sucesso
CVE-2024-43532
resulta em uma nova maneira de realizar um ataque de relay NTLM, um que aproveita o componente WinReg para retransmitir detalhes de autenticação que poderiam levar à tomada de domínio.
Alguns atores de ameaças usaram métodos de ataque de relay NTLM no passado para tomar controle de domínios Windows.
Um exemplo é a gangue de ransomware LockFile, que visou organizações nos EUA e na Ásia usando PetitPotam logo após sua descoberta.
A vulnerabilidade foi descoberta pelo pesquisador da Akamai, Stiv Kupchik, que a divulgou para a Microsoft em 1° de fevereiro.
No entanto, a Microsoft descartou o relatório em 25 de abril como "problema de documentação".
Em meados de junho, Kupchik ressubmeteu o relatório com um PoC e explicação melhores, o que levou a Microsoft a confirmar a vulnerabilidade em 8 de julho.
Três meses depois, a Microsoft liberou uma correção.
O pesquisador agora liberou um PoC funcional para
CVE-2024-43532
e explicou o processo de exploração, desde a criação de um servidor de relay até a obtenção de um certificado de usuário do alvo, durante a conferência de segurança No Hat em Bergamo, Itália.
O relatório da Akamai também fornece um método para determinar se o serviço Remote Registry está habilitado em uma máquina, assim como uma regra YARA para detectar clientes que usam uma WinAPI vulnerável.
Os pesquisadores também recomendam o uso de Event Tracing for Windows (ETW) para monitorar chamadas RPC específicas, incluindo aquelas relacionadas à interface RPC WinReg.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...