Esse método de ataque de retransmissão NTLM pode ser usado por agentes de ameaças para forçar servidores não corrigidos a se autenticarem em servidores sob o controle do invasor, levando a uma invasão do domínio do Windows.
Como o BleepingComputer foi informado por um porta-voz da Microsoft, embora não tenha havido nenhum anúncio público sobre esse problema, o “PoC de abuso de coerção MS-FSRVP, também conhecido como ‘ShadowCoerce’, foi mitigado com CVE-2022-30154, que afetou o mesmo componente”.
A BleepingComputer enviou um e-mail a Redmond depois que a CEO da ACROS Security, Mitja Kolsek, descobriu que ShadowCoerce foi corrigido silenciosamente enquanto pesquisava com a equipe 0Patch para emitir um micropatch.
Embora seja bom que a Microsoft tenha corrigido essa vulnerabilidade, eles ainda não forneceram nenhum detalhe publicamente e ainda não atribuíram uma ID CVE.
Isso fez com que empresas de segurança e pesquisadores [ 1 , 2 , 3 , 4 ] pedissem mais transparência a Redmond e incluíssem mais informações sobre o que foi corrigido em seus boletins de segurança.
ShadowCoerce foi descoberto e detalhado pela primeira vez pelo pesquisador de segurança Lionel Gilles no final de 2021, no final de uma apresentação mostrando o ataque PetitPotam.
Felizmente, esse método de ataque só pode forçar a autenticação pelo MS-FSRVP (Protocolo VSS Remoto do Servidor de Arquivos) em sistemas nos quais o Serviço do Agente VSS do Servidor de Arquivos está ativado.
MS-FSRVP é um protocolo baseado em RPC (chamada de procedimento remoto) usado para criar cópias de sombra de compartilhamento de arquivos em computadores remotos.
Infelizmente, como Gilles demonstrou, esse protocolo também é vulnerável a ataques de retransmissão NTLM que permitem aos agentes de ameaças forçar (ou coagir) um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob seu controle.
O servidor malicioso então retransmite (ou encaminha) a solicitação de autenticação para os Serviços de Certificados do Active Directory (AD CS) de um domínio para obter um tíquete de concessão de tíquete Kerberos (TGT) que permite que o invasor represente qualquer dispositivo de rede, incluindo um controlador de domínio do Windows.
Depois de representar um controlador de domínio, eles obterão privilégios elevados que podem ser usados para assumir o domínio do Windows.
No entanto, esses tipos de ataques exigem que uma rede já esteja comprometida por um agente de ameaças e que os serviços associados estejam em execução e acessíveis em um servidor de destino.
Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, os agentes de ameaças podem usar vários métodos, incluindo os protocolos MS-RPRN e MS-EFSRPC (PetitPotam).
Em maio, Redmond também corrigiu uma falsificação de LSA do Windows explorada ativamente de dia zero (rastreada como CVE-2022-26925 e posteriormente confirmada como uma variante PetitPotam) que pode ser usada para escalonamento de privilégios por meio de autenticação forçada em todas as versões do Windows.
A Microsoft ainda precisa lidar com o ataque de retransmissão DFSCoerce Windows NTLM, que usa o MS-DFSNM, um protocolo que permite o gerenciamento do Windows Distributed File System (DFS) em uma interface RPC.
No mês passado, o pesquisador de segurança Filip Dragovic lançou um script de prova de conceito DFSCoerce que pode ser usado para retransmitir autenticação contra servidores arbitrários, permitindo que usuários com acesso limitado a um domínio do Windows se tornem um administrador de domínio.
Quando solicitado por mais detalhes sobre o DFSCoerce, a Microsoft aconselhou os administradores a habilitar a autenticação multifator e instalar todas as atualizações de segurança disponíveis o mais rápido possível para bloquear o ataque DFSCoerce em seus ambientes.
Pesquisadores e especialistas em segurança também disseram à BleepingComputer que a melhor maneira de evitar esses ataques é seguir o conselho da Microsoft para mitigar o ataque de retransmissão PetitPotam NTLM.
As mitigações recomendadas incluem desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory, desabilitar NTLM em controladores de domínio e habilitar Proteção Estendida para Autenticação e recursos de assinatura (como assinatura SMB) para proteger credenciais do Windows.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…