Опубликован PoC-код для атаки WinReg NTLM Relay на серверы Windows

Татьяна Никитина 23 Октября 2024 - 18:23

...

Опубликован PoC-код для атаки WinReg NTLM Relay на серверы Windows

Эксперт, обнаруживший новый вектор атаки NTLM Relay, раскрыл детали и опубликовал PoC. Разработанный им метод использует уязвимость RPC-клиента Microsoft Remote Registry (уже пропатчена) и позволяет получить контроль над доменом Windows.

Как выяснил Стив Купчик (Stiv Kupchik) из Akamai, в службе удаленного реестра (WinReg) предусмотрен механизм отката транспортного протокола на случай отсутствия SMB. При его активации клиентское приложение переходит на использование менее надежного транспорта — TCP, SPX и т. п.; уровень защиты трафика тоже снижается.

Построив релей, провоцирующий такое переключение, злоумышленник сможет с его помощью перенаправить аутентификационные данные клиента на сервер ACDS и получить сертификат открытого ключа (PKI) для последующей аутентификации в домене. Подобная возможность позволяет в числе прочего создать нового админа в Active Directory.

Выявленная Купчиком уязвимость зарегистрирована как CVE-2024-43532 (повышение привилегий, 8,8 балла CVSS). Проблема актуальна для Windows Server версий с 2008 по 2022, а также Windows 10 и 11.

Соответствующие патчи Microsoft выпустила в составе октябрьских обновлений. Лишь после этого PoC-эксплойт был опубликован на GitHub.

Возможность захвата контроля над серверами Windows через атаку NTLM relay существовала и ранее. Метод PetitPotam был взят на вооружение операторами шифровальщика LockFile вскоре после обнаружения. Позднее был найден другой вектор NTLM relay — DFSCoerce.

С учетом того, что системы Windows ежедневно подвергаются 600 млн атак (внутренние данные MS), популярную ОС всегда надо держать в тонусе, без промедления применяя все выпускаемые патчи.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 28 Октября 2024 - 09:03

Windows Уязвимости программ Домашние пользователи Корпорации Microsoft

Windows позволяет обойти проверку драйверов и установить руткит

Условные атакующие могут провести даунгрейд и понизить версию корневых компонентов Windows, что приведет к обходу проверки подписи драйверов — Driver Signature Enforcement и позволит установить в систему руткиты.

Этот вектор подразумевает получение контроля над механизмом обновления Windows, с помощью которого злоумышленники могут подсунуть полностью пропатченной системе устаревшие компоненты.

Исследователь из компании SafeBreach Алан Левиев попытался предупредить Microsoft о проблеме, однако в корпорации отреагировали холодно: дескать, это не нарушает текущих ограничений ОС и не выходит за рамки безопасности.

Тем не менее, по словам специалиста, с помощью этой бреши можно выполнить код на уровне ядра от лица администратора.

Левиев даже выложил инструмент под названием «Windows Downdate», позволяющий подсунуть системе уязвимые компоненты: DLL, драйверы и т. п.

«Мне удалось внедрить старые уязвимости в полностью пропатченные системы. В частности, речь идет об обходе Driver Signature Enforcement (DSE) и загрузке неподписанных драйверов уровня ядра», — пишет Левиев.

Эксперт назвал свой метод «ItsNotASecurityBoundary» и показал его на примере подмены файла ci.dll, отвечающей за работу DSE. Вместо нормальной библиотеки Левиев подсунул непропатченную версию, которая игнорировала подписи драйверов.