WinReg: переключение с SMB дает возможности для взлома Windows

Akamai обнаружила уязвимость в клиенте MS-RPC, позволяющую провести атаку NTLM Relay. RPC служит важным элементом Windows, поддерживая работу множества сервисов. Несмотря на внедрённые меры безопасности, некоторые компоненты остаются уязвимыми для атак.

Проблема повышения привилегий CVE-2024-43532 (оценка CVSS: 8.8) связана с использованием устаревших транспортных протоколов в механизме резервного переключения клиента WinReg. Если SMB-протокол становится недоступным, система переключается на небезопасные транспортные протоколы, что позволяет злоумышленникам выполнить атаку NTLM Relay, воспользовавшись ретрансляцией данных аутентификации.

Эксплуатация ошибки позволяет перехватывать данные аутентификации NTLM клиента и перенаправлять их в Active Directory Certificate Services (ADCS), что позволяет хакерам запрашивать пользовательский сертификат для дальнейшей аутентификации в домене. В результате можно создать новые привилегированные учётные записи на уровне домена, что открывает возможности для длительного контроля над системой.

Уязвимость затрагивает все версии Windows без соответствующего обновления. Microsoft устранила проблему в октябре 2024 года в рамках Patch Tuesday, после ответственного раскрытия уязвимости исследователями в феврале 2024 года.

Проблема связана с функцией BaseBindToMachine в advapi32.dll. В некоторых случаях функция использует небезопасный уровень аутентификации RPC_C_AUTHN_LEVEL_CONNECT, что даёт возможность злоумышленникам выполнить атаку Machine-in-the-Middle. Если основной транспорт SMB недоступен, клиент переключается на TCP/IP и другие протоколы, что открывает возможность для перехвата данных и выполнения атаки.

Злоумышленники могут использовать инструменты, такие как ntlmrelayx, для перехвата и передачи аутентификационных данных. В частности, уязвимость позволяет взаимодействовать с ADCS, запрашивать сертификаты и использовать их для последующей аутентификации в домене.

В качестве меры защиты рекомендуется незамедлительно установить октябрьское обновление Microsoft и провести аудит использования Remote Registry в сети. Для выявления уязвимых клиентов можно использовать правила YARA, отслеживающие обращения к функциям RegConnectRegistry из advapi32.dll.

Кроме того, специалисты советуют отключить сервис Remote Registry, если он не используется, и настроить правила сегментации для трафика, поступающего в этот сервис. Мониторинг RPC-трафика с помощью Event Tracing for Windows (ETW) также может помочь выявить подозрительную активность и предотвратить атаки.