CVE-2024-43532: Tenemos nuevo ataque de NTLM relay
Stiv Kupchik, un investigador de Akamai, ha publicado una PoC para una vulnerabilidad crítica de elevación de privilegios en el cliente remoto del registro de Microsoft, identificada como CVE-2024-43532 con una puntuación CVSS de 8,8.
Esta vulnerabilidad afecta a todas las versiones de servidores de Windows 2008 a 2022, así como a Windows 10 y Windows 11, y explota un mecanismo de respaldo o fallback en dicho cliente WinReg, que utiliza de forma insegura protocolos de transporte obsoletos si el transporte SMB – el preferido – no está disponible. Esto permite a los atacantes retransmitir detalles de autenticación NTLM, lo que podría comprometer sistemas adyacentes.
¿Cómo funciona?
- Retroceso a protocolos antiguos: cuando SMB no está presente, el cliente de Registro remoto cambia a TCP/IP y utiliza RPC_C_AUTHN_LEVEL_CONNECT. Este modo no autentica completamente las conexiones, lo que facilita que un atacante lo explote.
- Retransmisión de autenticación NTLM: un atacante puede interceptar solicitudes de autenticación NTLM y redirigirlas por ejemplo hacia Servicios de certificados de Active Directory (ADCS) para obtener un certificado de usuario, lo que facilita un mayor acceso a los recursos del dominio.
- Control de dominio: al aprovechar este ataque de retransmisión, los atacantes pueden crear nuevas cuentas de administrador de dominio o tomar el control total del dominio, lo que conduce a graves consecuencias.
Prueba de concepto
El equipo de Akamai ha creado una PoC para CVE-2024-43532, que compartió públicamente a través de su repositorio de GitHub.
PoC: https://github.com/akamai/akamai-security-research/tree/main/PoCs%2Fcve-2024-43532
1. Configuración:
- El código configura una configuración de servidor SMB falsa con nombres aleatorios para el servidor y el dominio.
- También configura un cliente de relay NTLM para conectarse a un destino específico (RELAY_TARGET).
2. WinRegServer:
- Este servidor escucha las conexiones entrantes en el puerto 135.
- Para cada conexión, crea un nuevo subproceso WinRegWorker para gestionar la comunicación.
- También inicializa una instancia HTTPRelayClient.
3. WinRegWorker:
- Esta clase gestiona la comunicación con un solo cliente.
- Negocia la autenticación mediante el protocolo MSRPC y, potencialmente, el protocolo NTLM.
- Si se utiliza la negociación NTLM, puede retransmitir los mensajes de desafío-respuesta al servidor de destino configurado (RELAY_TARGET).
¿Cómo defenderse?
Esta vulnerabilidad se reveló de manera responsable al Centro de respuesta de seguridad de Microsoft (MSRC) en febrero de 2024, y se emitió un parche como parte del martes de parches de octubre de 2024. La actualización de Microsoft abordó el comportamiento de fallback y garantizó que ya no se utilicen protocolos de autenticación inseguros en caso de fallos de SMB. Así que ya sabéis, parchear y/o desactivar el registro remoto si no lo necesitáis…
Referencias:
Call and Register — Relay Attack on WinReg RPC Client: https://akamai.com/blog/security-research/winreg-relay-vulnerability
Powered by WPeMatico