O vulnerabilitate critică de tip EoP - Escalation of Privilege, cunoscută sub numele de CVE-2024-43532, a fost descoperită în Windows Remote Registry. Această vulnerabilitate permite atacatorilor să retransmită autentificarea NTLM și să obțină acces neautorizat la sistemele Windows.
TL;DR
- Vulnerabilitate critică descoperită în Windows Remote Registry
- Permite retransmiterea autentificării NTLM
- Afectează toate versiunile Windows fără patch-uri
- Vulnerabilitatea are un scor CVSS de 8.8
- A fost dezvăluită și remediată în Patch Tuesday din octombrie 2024
Vulnerabilitatea Windows Remote Registry
Vulnerabilitatea, cu un scor CVSS de 8.8, a fost asociată Windows Remote Registry, un instrument care permite administratorilor să modifice registrele Windows de la distanță. Descoperită de cercetătorul Akamai, Stiv Kupchik, problema rezidă în capacitatea atacatorilor de a retransmite credențialele NTLM ale utilizatorului către serverele Active Directory pentru a obține certificate de utilizator și acces privilegiat.
Cum funcționează atacul
Atacul exploatează un mecanism învechit al WinReg, care utilizează protocoale nesigure atunci când protocolul SMB nu este disponibil. Procesul implică interceptarea și retransmiterea autentificării NTLM către serverele Certificate Services, permițând astfel atacatorilor să obțină acces privilegiat.
Impactul și măsuri de protecție
Serviciul Remote Registry nu este activat implicit pe toate sistemele Windows, totuși, anumite componente și servicii Windows critice utilizează funcțiile vulnerabile ale WinAPI, și astfel, expun sistemele. Organizațiile sunt sfătuite să:
- Aplice cele mai recente patch-uri de securitate oferite de Microsoft
- Utilizeze osquery pentru verificarea stării serviciului Remote Registry
- Implementeze reguli YARA pentru identificarea binarelor vulnerabile
- Aplice politici de segmentare de rețea pentru a monitoriza traficul către serviciul RemoteRegistry
- Utilizeze Event Tracing for Windows (ETW) pentru a monitoriza traficul RPC
Concluzii
Această vulnerabilitate evidențiază provocările continue în asigurarea securității protocoalelor și interfețelor vechi din sistemele de operare moderne. În vederea protejării împotriva unor astfel de vulnerabilități, specialiștii recomandă implementarea unei apărări de rețea cuprinzătoare și efectuarea regulată a auditului de securitate.
Sursa articolului:
https://cybersecuritynews.com/windows-remote-registry-client-eop-flaw/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
