Windows Server : ce nouvel exploit permet de réaliser une attaque par relais NTLM !
Un code d'exploitation PoC a été publié pour la CVE-2024-43532, une faille de sécurité exploitable par le service d'accès à distance au Registre Windows : WinReg. Quels sont les risques ? Comment se protéger ? Voici ce que vous devez savoir.
Sommaire
La vulnérabilité CVE-2024-43532
À l'occasion de son Patch Tuesday d'octobre 2024, Microsoft a corrigé plus d'une centaine de failles de sécurité, dont la CVE-2024-43532 associée à cette alerte. Vous l'aurez compris, un correctif de sécurité est donc disponible depuis le mardi 8 octobre 2024. Cette faille de sécurité affecte Windows 10, Windows 11 et Windows Server 2008 ainsi que les versions supérieures jusqu'à Windows Server 2022, y compris les installations en mode "Core".
Cette vulnérabilité permet une élévation de privilèges et un attaquant peut l'exploiter pour obtenir les privilèges SYSTEM. Voici ce que l'on peut lire sur le site de Microsoft : "Pour exploiter cette vulnérabilité, un attaquant peut exécuter un script malveillant spécialement conçu qui exécute un appel RPC vers un hôte RPC. Cela pourrait entraîner une élévation des privilèges sur le serveur."
Quels sont les risques ?
Un nouveau rapport publié par les chercheurs en sécurité de chez Akamai donne des détails supplémentaires sur l'exploitation de cette faille de sécurité. Ce rapport explique que la vulnérabilité profite d'un mécanisme de fallback présent dans le client Windows Registry (WinReg) qui s'appuie sur d'anciens protocoles de transport si le SMB n'est pas disponible.
Ainsi, en pratique, un attaquant peut relayer les informations de l'authentification NTLM du client à l'autorité de certification d'entreprise basée sur ADCS, et demander un certificat d'utilisateur. L'attaquant disposera alors du nécessaire pour s'authentifier ultérieurement auprès du domaine. Cette méthode repose donc sur l'interception de ces informations d'authentification.
"Nous avons utilisé ce certificat pour nous authentifier auprès du service LDAP du contrôleur de domaine et créer un nouvel administrateur de domaine persistant dans le domaine compromis.", peut-on lire dans le rapport. L'exploitation de cette vulnérabilité peut donc mener à la compromission du domaine Active Directory.
Le code d'exploitation
Un code d'exploitation a été publié sur GitHub par les chercheurs en sécurité de chez Akamai, à l'origine de ces travaux. Il s'agit d'un ensemble de scripts Python. Pour en savoir plus, vous pouvez retrouver une vidéo de démo et une présentation complète utilisée par les chercheurs lors d'une présentation pour la conférence No Hat 2024.
Une fois de plus, le protocole NTLM est impliqué dans un scénario d'attaque et il existe désormais une façon supplémentaire d'effectuer une attaque par relais NTLM...
L'accès à distance au Registre
Terminons par une bonne nouvelle : l'accès à distance au Registre n'est pas activé par défaut sur Windows. Mais, vous l'avez peut-être activé à des fins d'administration à distance de vos machines... À vérifier donc !
Vous pouvez le vérifier en regardant l'état du service "Registre à distance" (RemoteRegistry) à partir de la console de gestion des services ou de PowerShell.
Get-Service RemoteRegistry