Ο κώδικας εκμετάλλευσης απόδειξης ιδέας είναι πλέον δημόσιος για μια ευπάθεια στο πρόγραμμα-πελάτη Remote Registry της Microsoft που θα μπορούσε να χρησιμοποιηθεί για τον έλεγχο ενός τομέα των Windows υποβαθμίζοντας την ασφάλεια της διαδικασίας ελέγχου ταυτότητας.
Η ευπάθεια παρακολουθείται ως CVE-2024-43532 και εκμεταλλεύεται έναν εναλλακτικό μηχανισμό στην υλοποίηση προγράμματος-πελάτη μητρώου των Windows (WinReg) που βασίζεται σε παλιά πρωτόκολλα μεταφοράς εάν δεν υπάρχει η μεταφορά SMB.
Ένας εισβολέας που εκμεταλλεύεται το ζήτημα ασφαλείας θα μπορούσε να αναμεταδώσει τον έλεγχο ταυτότητας NTLM στις υπηρεσίες πιστοποιητικών Active Directory (ADCS) για να αποκτήσει ένα πιστοποιητικό χρήστη για περαιτέρω έλεγχο ταυτότητας τομέα.
Το ελάττωμα επηρεάζει όλες τις εκδόσεις διακομιστή Windows 2008 έως 2022, καθώς και τα Windows 10 και Windows 11.
Λεπτομέρειες ευπάθειας και εκμετάλλευσης
Το CVE-2024-43532 προέρχεται από τον τρόπο με τον οποίο το πρόγραμμα-πελάτης Remote Registry της Microsoft χειρίζεται τον έλεγχο ταυτότητας RPC (Remote Procedure Call) κατά τη διάρκεια ορισμένων εναλλακτικών σεναρίων όταν η μεταφορά SMB δεν είναι διαθέσιμη.
Όταν συμβεί αυτό, ο πελάτης μεταβαίνει σε παλαιότερα πρωτόκολλα όπως το TCP/IP και χρησιμοποιεί ένα αδύναμο επίπεδο ελέγχου ταυτότητας (RPC_C_AUTHN_LEVEL_CONNECT), το οποίο δεν επαληθεύει την αυθεντικότητα ή την ακεραιότητα της σύνδεσης.
Ένας εισβολέας θα μπορούσε να πραγματοποιήσει έλεγχο ταυτότητας στον διακομιστή και να δημιουργήσει νέους λογαριασμούς διαχειριστή τομέα, παρεμποδίζοντας τη χειραψία ελέγχου ταυτότητας NTLM από τον πελάτη και προωθώντας την σε άλλη υπηρεσία, όπως το (ADCS).
Πηγή: Akamai
Η επιτυχής εκμετάλλευση του CVE-2024-43532 οδηγεί σε έναν νέο τρόπο εκτέλεσης μιας επίθεσης αναμετάδοσης NTLM, ένας τρόπος που αξιοποιεί το στοιχείο WinReg για τη μετάδοση λεπτομερειών ελέγχου ταυτότητας που θα μπορούσαν να οδηγήσουν σε ανάληψη τομέα.
Ορισμένοι παράγοντες απειλών έχουν χρησιμοποιήσει μεθόδους επίθεσης αναμετάδοσης NTLM στο παρελθόν για να πάρουν τον έλεγχο των τομέων των Windows. Ένα παράδειγμα είναι η συμμορία ransomware LockFile, η οποία στόχευσε οργανισμούς διάφορους οργανισμούς στις ΗΠΑ και την Ασία χρησιμοποιώντας το PetitPotam λίγο μετά την ανακάλυψή του.
Η ευπάθεια ανακαλύφθηκε από Ο ερευνητής Akamai Stiv Kupchikο οποίος την αποκάλυψε στη Microsoft την 1η Φεβρουαρίου. Ωστόσο, η Microsoft απέρριψε την αναφορά στις 25 Απριλίου “ως ζήτημα τεκμηρίωσης”.
Στα μέσα Ιουνίου, ο Kupchik υπέβαλε ξανά την αναφορά με καλύτερη απόδειξη της ιδέας (PoC) και επεξήγηση, κάτι που οδήγησε στη Microsoft να επιβεβαιώσει την ευπάθεια στις 8 Ιουλίου. Τρεις μήνες αργότερα, η Microsoft κυκλοφόρησε μια επιδιόρθωση.
Ο ερευνητής κυκλοφόρησε τώρα ένα λειτουργικό PoC για CVE-2024-43532 και εξήγησε τη διαδικασία εκμετάλλευσης, από τη δημιουργία ενός διακομιστή αναμετάδοσης έως την απόκτηση πιστοποιητικού χρήστη από τον στόχο, κατά τη διάρκεια του Συνέδριο ασφαλείας No Hat στο Μπέργκαμο της Ιταλίας.
Η αναφορά του Akamai παρέχει επίσης μια μέθοδο για να προσδιορίσετε εάν η υπηρεσία Απομακρυσμένου Μητρώου είναι ενεργοποιημένη σε ένα μηχάνημα, καθώς και έναν κανόνα YARA για τον εντοπισμό πελατών που χρησιμοποιούν ένα ευάλωτο WinAPI.
Οι ερευνητές προτείνουν επίσης τη χρήση του Event Tracing για Windows (ETW) για την παρακολούθηση συγκεκριμένων κλήσεων RPC, συμπεριλαμβανομένων εκείνων που σχετίζονται με τη διεπαφή WinReg RPC.
VIA: bleepingcomputer.com
