CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Exploit lansat pentru noul atac Windows Server WinReg NTLM Relay

23 octombrie 2024

Sursă: https://www.bleepingcomputer.com

Codul de exploatare de tip proof-of-concept pentru o vulnerabilitate în clientul Remote Registry al Microsoft a fost dezvăluit publlic. Exploatarea acestei vulnerabilități ar putea permite preluarea controlului asupra unui domeniu Windows prin diminuarea securității procesului de autentificare.

Vulnerabilitatea, urmărită ca CVE-2024-43532, exploatează un mecanism de înlocuire în implementarea clientului Windows Registry (WinReg) care se bazează pe protocoale de transfer vechi dacă protocolul SMB nu este disponibil.

Un atacator care exploatează CVE-2024-43532 ar putea retransmite autentificarea NTLM către Active Directory Certificate Services (ADCS) pentru a obține un certificat de utilizator pentru autentificarea ulterioară în domeniu.

Vulnerabilitatea afectează toate versiunile de Windows Server de la 2008 la 2022, precum și Windows 10 și Windows 11.

CVE-2024-43532 provine din modul în care clientul Microsoft Remote Registry gestionează autentificarea RPC (Remote Procedure Call) în timpul anumitor situații de rezervă atunci când protocolul SMB nu este disponibil.

Atunci când se întâmplă acest lucru, clientul trece la protocoale mai vechi precum TCP/IP și utilizează un nivel de autentificare vulnerabil (RPC_C_AUTHN_LEVEL_CONNECT), care nu verifică autenticitatea sau integritatea conexiunii.

Un atacator s-ar putea autentifica la server și ar putea crea noi conturi de administrator de domeniu prin interceptarea handshake-ului de autentificare NTLM de la client și transmiterea acestuia către un alt serviciu, cum ar fi (ADCS).

Exploatarea cu succes a CVE-2024-43532 are ca rezultat o nouă modalitate de a efectua un atac prin releu NTLM, care utilizează componenta WinReg pentru a transmite detalii de autentificare care ar putea duce la preluarea domeniului.

Specialiștii recomandă, de asemenea, utilizarea Event Tracing pentru Windows (ETW) pentru a monitoriza apelurile RPC specifice, inclusiv cele legate de interfața RPC WinReg.

Sursă: https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |