Akamai 研究员 Stiv Kupchik 公布了 Microsoft 远程注册表客户端中一个关键的特权提升 (EoP) 漏洞 CVE-2024-43532 的技术细节和概念验证 (PoC) 漏洞代码,CVSS 评分为 8.8。此漏洞利用了 WinReg 客户端中的回退机制,如果首选的 SMB 传输不可用,该机制会不安全地使用过时的传输协议。此漏洞存在重大风险,使攻击者能够中继 NTLM 身份验证详细信息,从而可能危及敏感系统。
根据 Kupchik 的研究,CVE-2024-43532 源于 WinReg 客户端在 SMB 协议不可用时处理身份验证的方式存在缺陷。系统会回退到使用旧协议,而这些协议无法充分保护身份验证数据传输的安全。研究人员解释说,“通过利用此漏洞,攻击者可以将客户端的 NTLM 身份验证详细信息中继到 Active Directory 证书服务 (ADCS),并请求用户证书以利用该证书在域中进行进一步的身份验证。”
该问题源于 Microsoft 远程过程调用 (RPC) 框架内过时的身份验证实践,特别是在与远程注册表服务交互时,该服务允许不同机器上的进程通过网络进行通信。
Kupchik 的团队发现,在许多情况下,Microsoft 的 RPC 协议依赖于不安全的身份验证级别,允许攻击者跨网络中继凭据。当 RPC 客户端绑定到服务器时,身份验证元数据会被传递,这些元数据可以被拦截和操纵。研究人员强调,“如果不涉及身份验证,RPC 绑定仅用于决定传输语法……身份验证级别各不相同,攻击者对那些对流量没有防御措施的身份验证级别感兴趣。 ”
真正的风险在于 BaseBindToMachine 函数的回退行为,当被迫通过不太安全的协议(如 TCP/IP)进行连接时,该函数会使用弱身份验证。此回退允许攻击者充当中间人,将凭据中继到其他系统,尤其是 Active Directory 证书服务 (ADCS)。Kupchik 的报告指出,“一旦它回退到 SMB 以外的任何其他协议,它就会使用 RpcBindingSetAuthInfoA 将身份验证级别设置为 Connect,这是不安全的。”
Akamai 团队为 CVE-2024-43532创建了一个概念验证 (PoC) 漏洞利用代码,并通过其 GitHub 存储库公开分享。他们的研究表明,该漏洞可以被用来冒充域内的用户,从而获得对关键系统的未经授权的访问权限。在测试中,他们使用通过 ADCS 获得的证书对域控制器上的 LDAP 服务进行身份验证,最终创建了一个持久的域管理员帐户。
使用 LDAP shell 创建新的域管理员图片:Akamai
后果非常严重。攻击者只需利用一个模糊的回退机制,就有可能完全控制企业网络,绕过多层安全措施。Akamai 团队进一步警告说:“回退到 TCP/IP 非常有希望,因为这意味着我们可以使用不安全的身份验证方法,在客户端不知情的情况下通过中间人攻击来中继流量。 ”
此漏洞已于 2024 年 2 月负责任地披露给 Microsoft 安全响应中心 (MSRC),并于 2024 年 10 月的补丁星期二发布了补丁。Microsoft 的更新解决了回退行为,并确保在 SMB 发生故障时不再使用不安全的身份验证协议。
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability
原文始发于微信公众号(独眼情报):【PoC】微软提权漏洞三连!微软远程注册表中存在严重提权缺陷
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论