Surgiram detalhes sobre uma falha de segurança agora corrigida no Open Coverage Agent (OPA) da Styra que, se explorada com sucesso, poderia ter levado ao vazamento de hashes do New Expertise LAN Supervisor (NTLM).
“A vulnerabilidade poderia ter permitido que um invasor vazasse as credenciais NTLM da conta de usuário native do servidor OPA para um servidor remoto, potencialmente permitindo que o invasor retransmitisse a autenticação ou quebrasse a senha”, disse a empresa de segurança cibernética Tenable em um relatório compartilhado com The Hacker Notícias.
A falha de segurança, descrita como uma vulnerabilidade de autenticação forçada do Server Message Block (SMB) e rastreada como CVE-2024-8260 (pontuação CVSS: 6.1/7.3), afeta o package de desenvolvimento de software program (SDK) CLI e Go para Home windows.
Basicamente, o problema decorre de uma validação de entrada inadequada que pode levar ao acesso não autorizado ao vazar o hash Internet-NTLMv2 do usuário que está atualmente conectado ao dispositivo Home windows que executa o aplicativo OPA.
No entanto, para que isso funcione, a vítima deve estar em posição de iniciar o tráfego de saída do Server Message Block (SMB) pela porta 445. Alguns dos outros pré-requisitos que contribuem para a gravidade média estão listados abaixo –
- Uma base inicial no ambiente, ou engenharia social de um usuário, que abre caminho para a execução da OPA CLI
- Passando um caminho de Convenção de Nomenclatura Common (UNC) em vez de um arquivo de regras Rego como argumento para OPA CLI ou para as funções da biblioteca OPA Go
A credencial capturada dessa maneira poderia então ser transformada em arma para encenar um ataque de retransmissão, a fim de ignorar a autenticação ou realizar cracking offline para extrair a senha.
“Quando um usuário ou aplicativo tenta acessar um compartilhamento remoto no Home windows, ele força a máquina native a se autenticar no servidor remoto by way of NTLM”, disse Shelly Raban, pesquisadora de segurança da Tenable.
“Durante esse processo, o hash NTLM do usuário native é enviado ao servidor remoto. Um invasor pode aproveitar esse mecanismo para capturar as credenciais, permitindo-lhes retransmitir a autenticação ou quebrar os hashes offline.”
Após divulgação responsável em 19 de junho de 2024, a vulnerabilidade foi corrigida na versão 0.68.0 lançada em 29 de agosto de 2024.
“À medida que os projetos de código aberto se tornam integrados em soluções generalizadas, é essential garantir que sejam seguros e não exponham os fornecedores e os seus clientes a uma maior superfície de ataque”, observou a empresa. “Além disso, as organizações devem minimizar a exposição pública dos serviços, a menos que seja absolutamente necessário para proteger os seus sistemas”.
A divulgação ocorre no momento em que a Akamai lança luz sobre uma falha de escalonamento de privilégios no Microsoft Distant Registry Service (CVE-2024-43532, pontuação CVSS: 8,8) que poderia permitir que um invasor obtivesse privilégios de SYSTEM por meio de uma retransmissão NTLM. Ele foi corrigido pela gigante da tecnologia no início deste mês, após ser relatado em 1º de fevereiro de 2024.
“A vulnerabilidade abusa de um mecanismo de fallback na implementação do cliente WinReg (RPC) que usa protocolos de transporte obsoletos de forma insegura se o transporte SMB não estiver disponível”, disse o pesquisador da Akamai, Stiv Kupchik.
“Ao explorar esta vulnerabilidade, um invasor pode retransmitir os detalhes de autenticação NTLM do cliente para os Serviços de Certificados do Lively Listing (ADCS) e solicitar um certificado de usuário para aproveitar a autenticação adicional no domínio.”
A suscetibilidade do NTLM para retransmitir ataques não passou despercebida pela Microsoft, que, no início de maio deste ano, reiterou seus planos de retirar o NTLM do Home windows 11 em favor do Kerberos como parte de seus esforços para fortalecer a autenticação do usuário.
“Embora a maioria dos servidores e clientes RPC sejam seguros hoje em dia, é possível, de tempos em tempos, descobrir relíquias de implementação insegura em vários graus”, disse Kupchik. “Neste caso, conseguimos alcançar o retransmissão NTLM, que é uma classe de ataques que pertence melhor ao passado.”
