Se han revelado detalles sobre una falla de seguridad ahora parcheada en Open Policy Agent de Styra (oferta pública de adquisición) que, si se hubiera explotado con éxito, podría haber provocado una filtración de New Technology LAN Manager (NTLM) hashes.
“La vulnerabilidad podría haber permitido a un atacante filtrar las credenciales NTLM de la cuenta de usuario local del servidor OPA a un servidor remoto, lo que podría permitir al atacante transmitir autenticación o descifrar la contraseña”, dijo la empresa de ciberseguridad Tenable. dicho en un informe compartido con The Hacker News.
La falla de seguridad, descrita como una vulnerabilidad de autenticación forzada de Bloque de mensajes del servidor (SMB) y rastreada como CVE-2024-8260 (Puntuación CVSS: 6.1/7.3), afecta tanto a la CLI como a Go SDK para Windows.
Básicamente, el problema surge de una validación de entrada incorrecta esto puede provocar un acceso no autorizado al filtrar el hash Net-NTLMv2 del usuario que actualmente inició sesión en el dispositivo Windows que ejecuta la aplicación OPA.
Sin embargo, para que esto funcione, la víctima debe poder iniciar el tráfico saliente del Bloque de mensajes del servidor (SMB) en el puerto 445. Algunos de los otros requisitos previos que contribuyen a una gravedad media se enumeran a continuación:
- Un primer ancla en el entorno, o ingeniería social de un usuario, que allana el camino para la ejecución de la CLI OPA
- Pase una ruta de Convención de nomenclatura universal (UNC) en lugar de un archivo de reglas Rego como argumento para las funciones de la biblioteca OPA CLI u OPA Go
Las credenciales capturadas de esta manera podrían usarse para realizar un ataque de retransmisión para evitar la autenticación o realizar un pirateo fuera de línea para extraer la contraseña.
“Cuando un usuario o una aplicación intenta acceder a un recurso compartido remoto en Windows, obliga a la máquina local a autenticarse con el servidor remoto a través de NTLM”, dijo Shelly Raban, investigadora de seguridad de Tenable.
“Durante este proceso, el hash NTLM del usuario local se envía al servidor remoto. Un atacante puede explotar este mecanismo para capturar credenciales, permitiéndole transmitir autenticación o descifrar los hashes sin conexión”.
Tras una divulgación responsable el 19 de junio de 2024, la vulnerabilidad se solucionó en versión 0.68.0 publicado el 29 de agosto de 2024.
“A medida que los proyectos de código abierto se integran en soluciones generalizadas, es crucial garantizar que sean seguros y no expongan a los proveedores y sus clientes a una mayor superficie de ataque”, señaló la compañía. “Además, las organizaciones deben minimizar la exposición pública de sus servicios a menos que sea absolutamente necesario para proteger sus sistemas”.
Esta divulgación se produce cuando Akamai destaca una falla de escalada de privilegios en el servicio de Registro remoto de Microsoft (CVE-2024-43532Puntuación CVSS: 8,8) que podría permitir a un atacante obtener privilegios del SISTEMA utilizando una retransmisión NTLM. El gigante tecnológico lo parchó a principios de este mes después de que se informara el 1 de febrero de 2024.
“La vulnerabilidad abusa de un mecanismo alternativo en WinReg [RPC] “una implementación de cliente que utiliza protocolos de transporte obsoletos de forma insegura si el transporte SMB no está disponible”, afirma el investigador de Akamai, Stiv Kupchik. dicho.
“Al explotar esta vulnerabilidad, un atacante puede transmitir los detalles de autenticación NTLM del cliente a los Servicios de certificados de Active Directory (ADCS) y solicitar un certificado de usuario para aprovechar una mayor autenticación en el dominio”.
La susceptibilidad de NTLM a los ataques de retransmisión no ha pasado desapercibida para Microsoft, que a principios de mayo reiteró su intención de eliminar NTLM en Windows 11 en favor de Kerberos como parte de sus esfuerzos para fortalecer la autenticación de usuarios.
“Si bien la mayoría de los servidores y clientes RPC son seguros hoy en día, de vez en cuando es posible descubrir vestigios de una implementación insegura en diversos grados”, dijo Kupchik. “En este caso, pudimos lograr la retransmisión NTLM, que es una clase de ataque que es más bien una cosa del pasado”.