Vulnerabilidade recém descoberta permite obter RCE via ataques NTLM relay.

Ataques de SMB relay são um dos vetores mais utilizados para escalar privilégios durante uma atividade de red teaming / pentesting a rede Active Directory.

Recentemente, mais detalhes surgiram sobre uma vulnerabilidade de relay no Windows NT LAN Manager (NTLM) que foi abordada pela Microsoft como parte de suas atualizações mensais de Patch Tuesday no início deste mês.

A falha, identificada como CVE-2021-1678 (CVSS pontuação 4.3), foi descrita como uma falha “explorável remotamente” encontrada num componente vulnerável ligado à stack de rede, embora os detalhes exatos da falha permaneçam ainda desconhecidos.

De acordo com investigadores da Crowdstrike, o bug de segurança pode permitir que um malfeitor obtenha a execução remota de código por meio de um relay NTLM.

“This vulnerability allows an attacker to relay NTLM authentication sessions to an attacked machine, and use a printer spooler MSRPC interface to remotely execute code on the attacked machine,” the researchers said in a Friday advisory.

 

Em detalhe, ataques de retransmissão (relay) NTLM são um tipo de ataques man-in-the-middle (MitM) que normalmente permitem a intercepção do tráfego de autenticação legítimo entre um cliente e um servidor e  que estes retransmitam essas solicitações de autenticação validadas para aceder a serviços na rede .

 

Explorações bem-sucedidas também podem permitir que um adversário execute código remotamente numa máquina Windows ou executar movimentação lateral na rede para sistemas críticos, como servidores que hospedam controladores de domínio, reutilizando as credenciais NTLM direcionadas ao servidor comprometido.

Embora este tipo de ataques possam ser mitigados pela assinatura SMB e LDAP e pela ativação da Enhanced Protection for Authentication (EPA), o CVE-2021-1678 explora uma vulneraiblidade do MSRPC (Chamada de Procedimento Remoto da Microsoft) que o torna vulnerável a um ataque de retransmissão.

Em específico, os investigadores descobriram que a IRemoteWinspool – uma interface RPC para gestão remota de spooler de impressoras – poderia ser aproveitada para executar uma série de operações RPC e gravar ficheiros arbitrários em uma máquina alvo usando uma sessão NTLM interceptada.

Microsoft, in a support document, said it addressed the vulnerability by “increasing the RPC authentication level and introducing a new policy and registry key to allow customers to disable or enable Enforcement mode on the server-side to increase the authentication level.”

In addition to installing the January 12 Windows update, the company has urged organizations to turn on Enforcement mode on the print server, a setting which it says will be enabled on all Windows devices by default starting June 8, 2021.

 

Mitigação

De acordo com a publicação da falha, existe um conjunto de passos que podem mitigar explorações in-the-wild desta falha, incluindo:

  1. Patch: As always, you should apply the MS patch as soon as possible to mitigate the discovered attack. Note that patching alone is not enough. Until you change the registry settings according to the Microsoft guide, you will still be vulnerable to this attack. 
  2. Configure secure NTLM settings: Some NTLM relay mitigations are not enabled by default, leaving your network insecure. Most notable are SMB signing, LDAP signing and LDAPS channel binding. Review these security settings and make sure your network is fully protected.
  3. Track NTLM usage: Ultimately, in the authors’ opinion, the goal of any organization should be to completely stop using NTLM. This recommendation is based on various NTLM security issues we have discovered and blogged about in the past. 
  4. Detect NTLM relay attacks: Securing and removing NTLM in your network is a long and complex IT project. As long as your network is not fully secure, we recommend having a security product that helps detect NTLM anomalies and NTLM relay attacks. 

 

Mais detalhes sobre a publicação aqui.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *