Новости WinReg: переключение с SMB дает возможности для взлома Windows

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Как резервный протокол стал главной угрозой безопасности.


to5wpleecrxm304qruw1s5vj8ayqwk3p.jpg


Akamai Для просмотра ссылки Войди или Зарегистрируйся уязвимость в клиенте MS-RPC , позволяющую провести атаку NTLM Relay . RPC служит важным элементом Windows, поддерживая работу множества сервисов. Несмотря на внедрённые меры безопасности, некоторые компоненты остаются уязвимыми для атак.

Проблема повышения привилегий Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.8) связана с использованием устаревших транспортных протоколов в механизме резервного переключения клиента WinReg . Если SMB-протокол становится недоступным, система переключается на небезопасные транспортные протоколы, что позволяет злоумышленникам выполнить атаку NTLM Relay, воспользовавшись ретрансляцией данных аутентификации.

Эксплуатация ошибки позволяет перехватывать данные аутентификации NTLM клиента и перенаправлять их в Active Directory Certificate Services (ADCS), что позволяет хакерам запрашивать пользовательский сертификат для дальнейшей аутентификации в домене. В результате можно создать новые привилегированные учётные записи на уровне домена, что открывает возможности для длительного контроля над системой.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся все версии Windows без соответствующего обновления. Microsoft Для просмотра ссылки Войди или Зарегистрируйся проблему в октябре 2024 года в рамках Patch Tuesday, после ответственного раскрытия уязвимости исследователями в феврале 2024 года.

Проблема связана с функцией BaseBindToMachine в advapi32.dll. В некоторых случаях функция использует небезопасный уровень аутентификации RPC_C_AUTHN_LEVEL_CONNECT, что даёт возможность злоумышленникам выполнить атаку Machine-in-the-Middle . Если основной транспорт SMB недоступен, клиент переключается на TCP/IP и другие протоколы, что открывает возможность для перехвата данных и выполнения атаки.

Злоумышленники могут использовать инструменты, такие как ntlmrelayx, для перехвата и передачи аутентификационных данных. В частности, уязвимость позволяет взаимодействовать с ADCS, запрашивать сертификаты и использовать их для последующей аутентификации в домене.

В качестве меры защиты рекомендуется незамедлительно установить октябрьское обновление Microsoft и провести аудит использования Remote Registry в сети. Для выявления уязвимых клиентов можно использовать правила YARA, отслеживающие обращения к функциям RegConnectRegistry из advapi32.dll.

Кроме того, специалисты советуют отключить сервис Remote Registry, если он не используется, и настроить правила сегментации для трафика, поступающего в этот сервис. Мониторинг RPC-трафика с помощью Event Tracing for Windows (ETW) также может помочь выявить подозрительную активность и предотвратить атаки.
 
Источник новости
www.securitylab.ru

Похожие темы