Microsoft corrige silenciosamente o bug do ShadowCoerce Windows NTLM Relay
A Microsoft confirmou que corrigiu uma vulnerabilidade ‘ShadowCoerce’ divulgada anteriormente como parte das atualizações de junho de 2022 que permitiam que invasores visassem servidores Windows em ataques de retransmissão NTLM.
Esse método de ataque de retransmissão NTLM pode ser usado por agentes de ameaças para forçar servidores não corrigidos a se autenticarem em servidores sob o controle do invasor, levando a uma invasão do domínio do Windows.
Como o BleepingComputer foi informado por um porta-voz da Microsoft, embora não tenha havido nenhum anúncio público sobre esse problema, o “PoC de abuso de coerção MS-FSRVP, também conhecido como ‘ShadowCoerce’, foi mitigado com CVE-2022-30154, que afetou o mesmo componente”.
A BleepingComputer enviou um e-mail a Redmond depois que a CEO da ACROS Security, Mitja Kolsek, descobriu que ShadowCoerce foi corrigido silenciosamente enquanto pesquisava com a equipe 0Patch para emitir um micropatch.
Embora seja bom que a Microsoft tenha corrigido essa vulnerabilidade, eles ainda não forneceram nenhum detalhe publicamente e ainda não atribuíram uma ID CVE.
Isso fez com que empresas de segurança e pesquisadores [ 1 , 2 , 3 , 4 ] pedissem mais transparência a Redmond e incluíssem mais informações sobre o que foi corrigido em seus boletins de segurança.
Abuso de protocolo baseado em RPC leva à aquisição de domínio
ShadowCoerce foi descoberto e detalhado pela primeira vez pelo pesquisador de segurança Lionel Gilles no final de 2021, no final de uma apresentação mostrando o ataque PetitPotam.
Felizmente, esse método de ataque só pode forçar a autenticação pelo MS-FSRVP (Protocolo VSS Remoto do Servidor de Arquivos) em sistemas nos quais o Serviço do Agente VSS do Servidor de Arquivos está ativado.
MS-FSRVP é um protocolo baseado em RPC (chamada de procedimento remoto) usado para criar cópias de sombra de compartilhamento de arquivos em computadores remotos.
Infelizmente, como Gilles demonstrou, esse protocolo também é vulnerável a ataques de retransmissão NTLM que permitem aos agentes de ameaças forçar (ou coagir) um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob seu controle.
O servidor malicioso então retransmite (ou encaminha) a solicitação de autenticação para os Serviços de Certificados do Active Directory (AD CS) de um domínio para obter um tíquete de concessão de tíquete Kerberos (TGT) que permite que o invasor represente qualquer dispositivo de rede, incluindo um controlador de domínio do Windows.
Depois de representar um controlador de domínio, eles obterão privilégios elevados que podem ser usados para assumir o domínio do Windows.
No entanto, esses tipos de ataques exigem que uma rede já esteja comprometida por um agente de ameaças e que os serviços associados estejam em execução e acessíveis em um servidor de destino.
Ataques e mitigações de retransmissão NTLM
Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, os agentes de ameaças podem usar vários métodos, incluindo os protocolos MS-RPRN e MS-EFSRPC (PetitPotam).
Em maio, Redmond também corrigiu uma falsificação de LSA do Windows explorada ativamente de dia zero (rastreada como CVE-2022-26925 e posteriormente confirmada como uma variante PetitPotam) que pode ser usada para escalonamento de privilégios por meio de autenticação forçada em todas as versões do Windows.
A Microsoft ainda precisa lidar com o ataque de retransmissão DFSCoerce Windows NTLM, que usa o MS-DFSNM, um protocolo que permite o gerenciamento do Windows Distributed File System (DFS) em uma interface RPC.
No mês passado, o pesquisador de segurança Filip Dragovic lançou um script de prova de conceito DFSCoerce que pode ser usado para retransmitir autenticação contra servidores arbitrários, permitindo que usuários com acesso limitado a um domínio do Windows se tornem um administrador de domínio.
Quando solicitado por mais detalhes sobre o DFSCoerce, a Microsoft aconselhou os administradores a habilitar a autenticação multifator e instalar todas as atualizações de segurança disponíveis o mais rápido possível para bloquear o ataque DFSCoerce em seus ambientes.
Pesquisadores e especialistas em segurança também disseram à BleepingComputer que a melhor maneira de evitar esses ataques é seguir o conselho da Microsoft para mitigar o ataque de retransmissão PetitPotam NTLM.
As mitigações recomendadas incluem desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory, desabilitar NTLM em controladores de domínio e habilitar Proteção Estendida para Autenticação e recursos de assinatura (como assinatura SMB) para proteger credenciais do Windows.
