Le code d’exploitation de validation de principe est désormais public pour une vulnérabilité dans le client de registre distant de Microsoft qui pourrait être utilisée pour prendre le contrôle d’un domaine Windows en rétrogradant la sécurité du processus d’authentification.
La vulnérabilité est suivie sous la référence CVE-2024-43532 et tire parti d’un mécanisme de secours dans l’implémentation cliente du registre Windows (WinReg) qui repose sur d’anciens protocoles de transport si le transport SMB n’est pas présent.
Un attaquant exploitant le problème de sécurité pourrait relayer l’authentification NTLM aux services de certificats Active Directory (ADC) pour obtenir un certificat utilisateur pour une authentification de domaine supplémentaire.
La faille affecte toutes les versions de Windows Server 2008 à 2022 ainsi que Windows 10 et Windows 11.
Détails sur la vulnérabilité et l’exploitation
CVE-2024-43532 découle de la façon dont le client de registre distant de Microsoft gère l’authentification RPC (Appel de procédure à distance) lors de certains scénarios de repli lorsque le transport SMB n’est pas disponible.
Lorsque cela se produit, le client bascule vers des protocoles plus anciens comme TCP / IP et utilise un niveau d’authentification faible (RPC_C_AUTHN_LEVEL_CONNECT), qui ne vérifie pas l’authenticité ou l’intégrité de la connexion.
Un attaquant pourrait s’authentifier auprès du serveur et créer de nouveaux comptes d’administrateur de domaine en interceptant la poignée de main d’authentification NTLM du client et en la transférant vers un autre service, tel que les (ADC).
L’exploitation réussie de CVE-2024-43532 aboutit à une nouvelle façon de mener une attaque par relais NTLM, qui exploite le composant WinReg pour relayer les détails d’authentification susceptibles de conduire à la prise de contrôle du domaine.
Certains auteurs de menaces ont utilisé des méthodes d’attaque par relais NTLM dans le passé pour prendre le contrôle des domaines Windows. Un exemple est le gang de ransomwares LockFile, qui a ciblé diverses organisations aux États-Unis et en Asie en utilisant PetitPotam peu de temps après sa découverte.
La vulnérabilité a été découverte par le chercheur Akamai Stiv Kupchik, qui l’a divulguée à Microsoft le 1er février. Cependant, Microsoft a rejeté le rapport le 25 avril « comme un problème de documentation. »
À la mi-juin, Kupchik a soumis à nouveau le rapport avec une meilleure preuve de concept (PoC) et une explication, ce qui a conduit Microsoft à confirmer la vulnérabilité le 8 juillet. Trois mois plus tard, Microsoft a publié un correctif.
Le chercheur a maintenant publié un PoC fonctionnel pour CVE-2024-43532 et a expliqué le processus d’exploitation, de la création d’un serveur relais à l’obtention d’un certificat d’utilisateur de la cible, lors de la conférence sur la sécurité No Hat à Bergame, en Italie.
Le rapport d’Akamai fournit également une méthode pour déterminer si le service de registre distant est activé sur une machine ainsi qu’une règle YARA pour détecter les clients qui utilisent une WinAPI vulnérable.
Les chercheurs recommandent également d’utiliser le suivi des événements pour Windows (ETW) pour surveiller des appels RPC spécifiques, y compris ceux liés à l’interface RPC WinReg.