Se descubrió una vulnerabilidad crítica de elevación de privilegios (EoP), identificada como CVE-2024-43532, en el cliente de registro remoto de Windows. Esta vulnerabilidad podría permitir a un atacante transmitir la autenticación NTLM y obtener acceso no autorizado a un sistema Windows.
Tiene una puntuación CVSS alta de 8,8 y afecta a todas las versiones de Windows sin parches. El investigador de Akamai, Stiv Kupchik, descubrió esta vulnerabilidad que explota un mecanismo de respaldo en la implementación del cliente WinReg.
Este mecanismo no utiliza de forma segura protocolos de transporte más antiguos si el transporte SMB no está disponible. Esta falla se reveló responsablemente al Centro de recursos de seguridad de Microsoft en febrero de 2024 y posteriormente se corrigió como parte del parche del martes de octubre de 2024.
Defecto de EoP del cliente de registro remoto de Windows
La vulnerabilidad se debe a la función BaseBindToMachine en advapi32.dll, un componente central de la API de Windows. Al intentar conectarse a un registro remoto mediante una ruta UNC, la función puede recurrir a un método de autenticación inseguro si falla la conexión SMB inicial.
Únase al seminario web gratuito de ANY.RUN sobre cómo mejorar su investigación de amenazas el 23 de octubre: regístrese aquí
En concreto, el problema se produce en los siguientes casos:
La conexión recurrirá a un protocolo alternativo como TCP/IP. La función RpcBindingSetAuthInfoA se llama con un nivel de autenticación de RPC_C_AUTHN_LEVEL_CONNECT. Servidor de retransmisión RPC
Esta configuración insegura permite a un atacante interceptar y transmitir los detalles de autenticación NTLM del cliente.
Al explotar esta vulnerabilidad, un atacante podría hacer lo siguiente:
Interceptar intentos de autenticación NTLM. Transmitir credenciales a los Servicios de certificados de Active Directory (ADCS). Solicite un certificado de usuario para una mayor autenticación con el dominio.
Stiv Kupchik dijo que esta cadena de ataque podría permitir a un atacante escalar privilegios y obtener acceso no autorizado a sistemas sensibles dentro de un entorno de dominio de Windows.
Aunque el servicio de Registro remoto no está habilitado de forma predeterminada en todas las máquinas con Windows, varios componentes y servicios críticos de Windows aprovechan la funcionalidad vulnerable de WinAPI, que incluye:
AD CS (certutil y certsrv) Sistema de cifrado de archivos (EFS) Sistema de archivos distribuido (DFS)
Estos servicios pueden exponer su sistema a vulnerabilidades sin darse cuenta. Para detectar y mitigar esta vulnerabilidad, las organizaciones pueden:
Verifique el estado del servicio de registro remoto usando osquery. SELECCIONE display_name, status, start_type, pid FROM servicios DONDE nombre=”RemoteRegistry” Emplee reglas YARA para identificar archivos binarios que dependen de funciones vulnerables de WinAPI. Implementar políticas de segmentación de red para monitorear y controlar el tráfico al servicio RemoteRegistry. Aproveche el seguimiento de eventos para Windows (ETW) para monitorear el tráfico RPC centrándose en los UUID de la interfaz WinReg RPC. Aplique los últimos parches de seguridad de Microsoft para abordar las vulnerabilidades.
Este descubrimiento destaca los continuos desafíos de proteger los protocolos e interfaces heredados dentro de los sistemas operativos modernos.
Esta vulnerabilidad resalta la importancia de defensas de red integrales y auditorías de seguridad periódicas para identificar y mitigar los riesgos asociados con interfaces y protocolos heredados.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
