Konsept Kanıtı Yayım Kodu, Microsoft'un Uzak Kayıt Defteri İstemcisinde, kimlik doğrulama sürecinin güvenliğini düşürerek bir Windows alan adının kontrolünü ele geçirmek için kullanılabilecek bir güvenlik açığı için halka açıktır.
Güvenlik açığı CVE-2024-43532 olarak izlenir ve Windows Kayıt Defteri (WINREG) istemci uygulamasında SMB aktarımı mevcut değilse eski taşıma protokollerine dayanan bir geri dönüş mekanizmasından yararlanır.
Güvenlik sorunundan yararlanan bir saldırgan, NTLM kimlik doğrulamasını Active Directory Sertifika Hizmetleri'ne (ADCS) iletebilir.
Kusur, 2008'den 2022'ye kadar tüm Windows Server sürümlerini, Windows 10 ve Windows 11'i etkiler.
CVE-2024-43532, Microsoft'un Uzak Kayıt Defteri İstemcisi'nin SMB aktarımının kullanılamadığı zaman bazı geri dönüş senaryoları sırasında RPC (Uzak Prosedür Çağrısı) kimlik doğrulamasını nasıl ele aldığından kaynaklanmaktadır.
Bu olduğunda, istemci TCP/IP gibi eski protokollere geçer ve bağlantının özgünlüğünü veya bütünlüğünü doğrulamayan zayıf bir kimlik doğrulama seviyesi (RPC_C_AUTHN_LEVEL_CONNECT) kullanır.
Bir saldırgan, NTLM kimlik doğrulama el sıkışmasını istemciden ele geçirerek ve (ADCS) gibi başka bir hizmete ileterek sunucuya kimlik doğrulaması yapabilir ve yeni etki alanı yöneticisi hesapları oluşturabilir.
CVE-2024-43532 sonuçlarını başarıyla kullanmak, NTLM röle saldırısı gerçekleştirmenin yeni bir yoluna, bu da WinReg bileşenini, etki alanı devralmasına yol açabilecek röle kimlik doğrulama detayları için kullanır.
Bazı tehdit aktörleri, geçmişte Windows alanlarının kontrolünü ele geçirmek için NTLM röle saldırı yöntemlerini kullandılar. Bir örnek, keşfedildikten kısa bir süre sonra Petitpotam'ı kullanarak ABD ve Asya'daki çeşitli kuruluşları hedefleyen Lockfile Fidye yazılımı çetesidir.
Güvenlik açığı, 1 Şubat'ta Microsoft'a açıklayan Akamai araştırmacısı Stiv Kupchik tarafından keşfedildi. Ancak Microsoft, 25 Nisan'daki raporu "dokümantasyon sorunu" olarak reddetti.
Haziran ortasında Kupchik, raporu daha iyi bir kavram kanıtı (POC) ve açıklama ile yeniden gönderdi, bu da Microsoft'un 8 Temmuz'da güvenlik açığını onaylamasına yol açtı. Üç ay sonra Microsoft bir düzeltme yaptı.
Araştırmacı şimdi CVE-2024-43532 için çalışan bir POC yayınladı ve Bergamo, İtalya'daki HAT No Güvenlik Konferansı sırasında bir röle sunucusu oluşturmaktan hedeften bir kullanıcı sertifikası almaya kadar sömürü sürecini açıkladı.
Akamai'nin raporu ayrıca, bir makinede uzak kayıt defteri hizmetinin etkinleştirilip etkinleştirilmediğini ve savunmasız bir Winapi kullanan istemcileri algılamak için bir Yara kuralı belirlemek için bir yöntem sağlar.
Araştırmacılar ayrıca, WinReg RPC arayüzü ile ilgili olanlar da dahil olmak üzere belirli RPC çağrılarını izlemek için Windows için Etkinlik İzleme (ETW) kullanmanızı önerir.
Palo Alto Networks, kamuya açık istismarla güvenlik duvarı kaçırma böcekleri konusunda uyarıyor
Kritik İlerleme Whatup RCE Kusur şimdi aktif sömürü altında
Ağustos ayından bu yana halka açık istismar ile whatsup altın hedefliyor
Kritik Ivanti RCE kusuru için piyasaya sürülen istismar kodu, şimdi yama
Microsoft, kaydederken belgeleri silen kelime hatasını düzeltir
Kaynak: Bleeping Computer