Surgiram detalhes sobre uma falha de segurança recentemente divulgada no Open Policy Agent (OPA) da Styra que, se explorada com sucesso, poderia levar ao vazamento de hashes do New Technology LAN Manager (NTLM).
“A vulnerabilidade poderia ter permitido que um invasor vazasse as credenciais NTLM de uma conta de usuário de servidor OPA local para um servidor remoto, potencialmente permitindo que um invasor realizasse autenticação ou quebra de senha”, disse a empresa de segurança cibernética Tenable em um relatório compartilhado com o The Hacker. Notícias.
A falha de segurança, descrita como Server Message Block (SMB) é vulnerável à autenticação forçada e baixada como CVE-2024-8260 (pontuação CVSS: 6.1/7.3), afeta tanto a CLI quanto o kit de desenvolvimento de software (SDK) Go para Windows.
Basicamente, o problema decorre da autenticação de entrada inválida que pode levar ao acesso não autorizado ao vazar o hash Net-NTLMv2 de um usuário conectado no momento em um dispositivo Windows executando o programa OPA.
No entanto, para que isso funcione, a vítima deve estar em condições de iniciar o tráfego de saída do Server Message Block (SMB) pela porta 445. Alguns dos requisitos que influenciam a dificuldade média estão listados abaixo –
- A primeira posição no ambiente, ou engenharia social do usuário, que abre caminho para a implementação do OPA CLI
- Passando um caminho de Convenção de Nomenclatura Universal (UNC) em vez de um arquivo de configuração Rego como argumento para funções da biblioteca OPA CLI ou OPA Go
As evidências capturadas dessa forma podem então ser usadas para organizar um ataque de retransmissão para ignorar a autenticação ou realizar hackers off-line para extrair uma senha.
“Quando um usuário ou aplicativo tenta acessar um compartilhamento remoto no Windows, ele força a máquina local a se autenticar no servidor remoto via NTLM”, disse Shelly Raban, pesquisadora de segurança da Tenable.
“Durante esse processo, o hash NTLM do usuário local é enviado para um servidor remoto. Um invasor pode usar esse processo para capturar credenciais, permitindo que eles passem a autenticação ou quebrem hashes offline.”
Após a divulgação obrigatória em 19 de junho de 2024, a vulnerabilidade foi corrigida na versão 0.68.0 lançada em 29 de agosto de 2024.
“À medida que os projetos de código aberto são integrados em soluções generalizadas, é importante garantir que sejam seguros e não exponham os fornecedores e os seus clientes a um ambiente de ataque cada vez maior”, observa a empresa. “Além disso, as organizações devem limitar a exposição aos serviços públicos, a menos que seja necessário para proteger os seus sistemas”.
A divulgação ocorre no momento em que a Akamai ilumina uma vulnerabilidade crescente no Microsoft Remote Registry Service (CVE-2024-43532, pontuação CVSS: 8,8) que pode permitir que um invasor obtenha privilégios de SYSTEM usando uma retransmissão NTLM. Ele foi listado pela gigante da tecnologia no início deste mês, após ser relatado em 1º de fevereiro de 2024.
“Vulnerabilidade explora um caminho de volta no WinReg [RPC] aplicativos clientes que usam protocolos de transporte desatualizados ficam inseguros quando o transporte SMB não está disponível”, disse o pesquisador da Akamai, Stiv Kupchik.
“Ao explorar esta vulnerabilidade, um invasor pode encaminhar as credenciais de autenticação NTLM do cliente para os Serviços de Certificados do Active Directory (ADCS) e solicitar que o certificado do usuário seja usado posteriormente para autenticação no domínio.”
A tendência do NTLM de retransmitir ataques não passou despercebida pela Microsoft, que, no início de maio deste ano, reiterou seus planos de aposentar o NTLM no Windows 11 em favor do Kerberos como parte de seus esforços para fortalecer a autenticação do usuário.
“Embora a maioria dos servidores e clientes RPC sejam seguros atualmente, isso pode, de tempos em tempos, revelar vestígios de implementações inseguras em vários graus”, disse Kupchik. “Desta vez, conseguimos o redirecionamento NTLM, que é a melhor classe de ataque do passado.”
