Esse método de ataque de retransmissão NTLM pode ser usado por agentes de ameaças para forçar servidores não corrigidos a se autenticarem em servidores sob o controle do invasor, levando a uma invasão do domínio do Windows.
Como o BleepingComputer foi informado por um porta-voz da Microsoft, embora não tenha havido nenhum anúncio público sobre esse problema, o “PoC de abuso de coerção MS-FSRVP, também conhecido como ‘ShadowCoerce’, foi mitigado com CVE-2022-30154, que afetou o mesmo componente”.
A BleepingComputer enviou um e-mail a Redmond depois que a CEO da ACROS Security, Mitja Kolsek, descobriu que ShadowCoerce foi corrigido silenciosamente enquanto pesquisava com a equipe 0Patch para emitir um micropatch.
Embora seja bom que a Microsoft tenha corrigido essa vulnerabilidade, eles ainda não forneceram nenhum detalhe publicamente e ainda não atribuíram uma ID CVE.
Isso fez com que empresas de segurança e pesquisadores [ 1 , 2 , 3 , 4 ] pedissem mais transparência a Redmond e incluíssem mais informações sobre o que foi corrigido em seus boletins de segurança.
ShadowCoerce foi descoberto e detalhado pela primeira vez pelo pesquisador de segurança Lionel Gilles no final de 2021, no final de uma apresentação mostrando o ataque PetitPotam.
Felizmente, esse método de ataque só pode forçar a autenticação pelo MS-FSRVP (Protocolo VSS Remoto do Servidor de Arquivos) em sistemas nos quais o Serviço do Agente VSS do Servidor de Arquivos está ativado.
MS-FSRVP é um protocolo baseado em RPC (chamada de procedimento remoto) usado para criar cópias de sombra de compartilhamento de arquivos em computadores remotos.
Infelizmente, como Gilles demonstrou, esse protocolo também é vulnerável a ataques de retransmissão NTLM que permitem aos agentes de ameaças forçar (ou coagir) um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob seu controle.
O servidor malicioso então retransmite (ou encaminha) a solicitação de autenticação para os Serviços de Certificados do Active Directory (AD CS) de um domínio para obter um tíquete de concessão de tíquete Kerberos (TGT) que permite que o invasor represente qualquer dispositivo de rede, incluindo um controlador de domínio do Windows.
Depois de representar um controlador de domínio, eles obterão privilégios elevados que podem ser usados para assumir o domínio do Windows.
No entanto, esses tipos de ataques exigem que uma rede já esteja comprometida por um agente de ameaças e que os serviços associados estejam em execução e acessíveis em um servidor de destino.
Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, os agentes de ameaças podem usar vários métodos, incluindo os protocolos MS-RPRN e MS-EFSRPC (PetitPotam).
Em maio, Redmond também corrigiu uma falsificação de LSA do Windows explorada ativamente de dia zero (rastreada como CVE-2022-26925 e posteriormente confirmada como uma variante PetitPotam) que pode ser usada para escalonamento de privilégios por meio de autenticação forçada em todas as versões do Windows.
A Microsoft ainda precisa lidar com o ataque de retransmissão DFSCoerce Windows NTLM, que usa o MS-DFSNM, um protocolo que permite o gerenciamento do Windows Distributed File System (DFS) em uma interface RPC.
No mês passado, o pesquisador de segurança Filip Dragovic lançou um script de prova de conceito DFSCoerce que pode ser usado para retransmitir autenticação contra servidores arbitrários, permitindo que usuários com acesso limitado a um domínio do Windows se tornem um administrador de domínio.
Quando solicitado por mais detalhes sobre o DFSCoerce, a Microsoft aconselhou os administradores a habilitar a autenticação multifator e instalar todas as atualizações de segurança disponíveis o mais rápido possível para bloquear o ataque DFSCoerce em seus ambientes.
Pesquisadores e especialistas em segurança também disseram à BleepingComputer que a melhor maneira de evitar esses ataques é seguir o conselho da Microsoft para mitigar o ataque de retransmissão PetitPotam NTLM.
As mitigações recomendadas incluem desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory, desabilitar NTLM em controladores de domínio e habilitar Proteção Estendida para Autenticação e recursos de assinatura (como assinatura SMB) para proteger credenciais do Windows.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…