Stiv Kupchik, un investigador de Akamai, ha publicado una PoC para una vulnerabilidad crítica de elevación de privilegios en el cliente remoto del registro de Microsoft, identificada como CVE-2024-43532 con una puntuación CVSS de 8,8.
Esta vulnerabilidad afecta a todas las versiones de servidores de Windows 2008 a 2022, así como a Windows 10 y Windows 11, y explota un mecanismo de respaldo o fallback en dicho cliente WinReg, que utiliza de forma insegura protocolos de transporte obsoletos si el transporte SMB - el preferido - no está disponible. Esto permite a los atacantes retransmitir detalles de autenticación NTLM, lo que podría comprometer sistemas adyacentes.
¿Cómo funciona?
- Retroceso a protocolos antiguos: cuando SMB no está presente, el cliente de Registro remoto cambia a TCP/IP y utiliza RPC_C_AUTHN_LEVEL_CONNECT. Este modo no autentica completamente las conexiones, lo que facilita que un atacante lo explote.
- Retransmisión de autenticación NTLM: un atacante puede interceptar solicitudes de autenticación NTLM y redirigirlas por ejemplo hacia Servicios de certificados de Active Directory (ADCS) para obtener un certificado de usuario, lo que facilita un mayor acceso a los recursos del dominio.
- Control de dominio: al aprovechar este ataque de retransmisión, los atacantes pueden crear nuevas cuentas de administrador de dominio o tomar el control total del dominio, lo que conduce a graves consecuencias.
Prueba de concepto
El equipo de Akamai ha creado una PoC para CVE-2024-43532, que compartió públicamente a través de su repositorio de GitHub.
PoC: https://github.com/akamai/akamai-security-research/tree/main/PoCs%2Fcve-2024-43532
1. Configuración:
- El código configura una configuración de servidor SMB falsa con nombres aleatorios para el servidor y el dominio.
- También configura un cliente de relay NTLM para conectarse a un destino específico (RELAY_TARGET).
2. WinRegServer:
- Este servidor escucha las conexiones entrantes en el puerto 135.
- Para cada conexión, crea un nuevo subproceso WinRegWorker para gestionar la comunicación.
- También inicializa una instancia HTTPRelayClient.
- Esta clase gestiona la comunicación con un solo cliente.
- Negocia la autenticación mediante el protocolo MSRPC y, potencialmente, el protocolo NTLM.
- Si se utiliza la negociación NTLM, puede retransmitir los mensajes de desafío-respuesta al servidor de destino configurado (RELAY_TARGET).
¿Cómo defenderse?
Esta vulnerabilidad se reveló de manera responsable al Centro de respuesta de seguridad de Microsoft (MSRC) en febrero de 2024, y se emitió un parche como parte del martes de parches de octubre de 2024. La actualización de Microsoft abordó el comportamiento de fallback y garantizó que ya no se utilicen protocolos de autenticación inseguros en caso de fallos de SMB. Así que ya sabéis, parchear y/o desactivar el registro remoto si no lo necesitáis...
Referencias:
Call and Register — Relay Attack on WinReg RPC Client: https://akamai.com/blog/security-research/winreg-relay-vulnerability
Comentarios
Publicar un comentario