Se ha publicado una prueba de concepto de la explotación de una vulnerabilidad en el cliente de Registro Remoto de Microsoft. Este código podría utilizarse para tomar el control de un dominio de Windows degradando la seguridad del proceso de autenticación.
La vulnerabilidad, identificada como CVE-2024-43532, y solucionada este mes, aprovecha un mecanismo alternativo en la implementación del cliente del Registro de Windows (WinReg) que se basa en protocolos de transporte antiguos si el transporte SMB no está presente.
Un atacante que aprovechara el problema de seguridad podría transmitir la autenticación NTLM a los Servicios de certificados de Active Directory (ADCS) para obtener un certificado de usuario para una mayor autenticación del dominio.
La falla afecta a todas las versiones de servidores de Windows 2008 a 2022, así como a Windows 10 y Windows 11.
Detalles de vulnerabilidad y explotación.
CVE-2024-43532 surge de cómo el cliente de Registro remoto de Microsoft maneja la autenticación RPC (llamada a procedimiento remoto) durante ciertos escenarios alternativos cuando el transporte SMB no está disponible.
Cuando esto sucede, el cliente cambia a protocolos más antiguos como TCP/IP y utiliza un nivel de autenticación débil (RPC_C_AUTHN_LEVEL_CONNECT), que no verifica la autenticidad o integridad de la conexión.
Un atacante podría autenticarse en el servidor y crear nuevas cuentas de administrador de dominio interceptando el protocolo de enlace de autenticación NTLM del cliente y reenviándolo a otro servicio, como (ADCS).
La explotación exitosa de CVE-2024-43532 da como resultado una nueva forma de llevar a cabo un ataque de retransmisión NTLM, una que aprovecha el componente WinReg para transmitir detalles de autenticación que podrían conducir a la toma de control del dominio.
Algunos actores de amenazas han utilizado métodos de ataque de retransmisión NTLM en el pasado para tomar el control de dominios de Windows. Un ejemplo es la banda de ransomware LockFile, que atacó a varias organizaciones en los EE.UU. y Asia utilizando PetitPotam poco después de su descubrimiento.
La vulnerabilidad fue descubierta por el investigador de Akamai Stiv Kupchik, quien la reveló a Microsoft el 1 de febrero. Sin embargo, Microsoft desestimó el informe el 25 de abril “como un problema de documentación”.
A mediados de junio, Kupchik volvió a presentar el informe con una mejor prueba de concepto (PoC) y una explicación, lo que llevó a Microsoft a confirmar la vulnerabilidad el 8 de julio. Tres meses después, Microsoft lanzó una solución.
El investigador ha publicado una PoC funcional para CVE-2024-43532 y explicó el proceso de explotación, desde la creación de un servidor de retransmisión hasta la obtención de un certificado de usuario del objetivo, durante la conferencia de seguridad No Hat en Bérgamo, Italia.
El informe de Akamai también proporciona un método para determinar si el servicio de Registro remoto está habilitado en una máquina, así como una regla YARA para detectar clientes que usan una WinAPI vulnerable.
Los investigadores también recomiendan utilizar Event Tracing para Windows (ETW) para monitorear llamadas RPC específicas, incluidas aquellas relacionadas con la interfaz WinReg RPC.
Fuente: blog.segu-info.com.ar