Han surgido detalles sobre una falla de seguridad ahora parcheada en el Agente de Política Abierta de Styra (OPA) que, si se explota con éxito, podría haber llevado a la fuga de New Technology LAN Manager (NTLM) hashes.
“La vulnerabilidad podría haber permitido a un atacante filtrar las credenciales NTLM de la cuenta de usuario local del servidor OPA a un servidor remoto, lo que podría permitir al atacante transmitir la autenticación o descifrar la contraseña”, firma de ciberseguridad Tenable dicho en un informe compartido con The Hacker News.
La falla de seguridad, descrita como una vulnerabilidad de autenticación de fuerza del Bloque de Mensajes del Servidor (SMB) y rastreada como CVE-2024-8260 (Puntuación CVSS: 6.1/7.3), afecta tanto al kit de desarrollo de software CLI como al Go (SDK) para Windows.
En esencia, el problema proviene de un validación de entrada incorrecta eso puede conducir a un acceso no autorizado al filtrar el hash Net-NTLMv2 del usuario que actualmente está conectado al dispositivo Windows que ejecuta la aplicación OPA.
Sin embargo, para que esto funcione, la víctima debe estar en posición de iniciar el tráfico saliente del Bloque de Mensajes del Servidor (SMB) a través del puerto 445. Algunos de los otros requisitos previos que contribuyen a la gravedad media se enumeran a continuación –
- Un punto de apoyo inicial en el medio ambiente, o ingeniería social de un usuario, que allana el camino para la ejecución de la OPA CLI
- Aprobar una ruta de la Convención Universal de Nombres (UNC) en lugar de un archivo de regla Rego como argumento para OPA CLI o las funciones de la biblioteca OPA Go
La credencial capturada de esta manera podría ser armada para organizar un ataque de retransmisión con el fin de evitar la autenticación, o realizar craqueo fuera de línea para extraer la contraseña.
“Cuando un usuario o aplicación intenta acceder a un recurso compartido remoto en Windows, obliga a la máquina local a autenticarse en el servidor remoto a través de NTLM”, dijo la investigadora de seguridad de Tenable, Shelly Raban.
“Durante este proceso, el hash NTLM del usuario local se envía al servidor remoto. Un atacante puede aprovechar este mecanismo para capturar las credenciales, lo que les permite transmitir la autenticación o descifrar los hashes fuera de línea.”
Tras la divulgación responsable el 19 de junio de 2024, la vulnerabilidad se abordó en versión 0.68.0 lanzado el 29 de agosto de 2024.
“A medida que los proyectos de código abierto se integran en soluciones generalizadas, es crucial garantizar que sean seguros y no expongan a los proveedores y sus clientes a una mayor superficie de ataque”, señaló la compañía. “Además, las organizaciones deben minimizar la exposición pública de los servicios a menos que sea absolutamente necesario para proteger sus sistemas.”
La divulgación se produce cuando Akamai arroja luz sobre una falla de escalada de privilegios en el Servicio de Registro Remoto de Microsoft (CVE-2024-435328.8, puntuación CVSS) que podría permitir a un atacante obtener privilegios SYSTEM mediante un relé NTLM. Fue parcheado por el gigante tecnológico a principios de este mes después de que se informara el 1 de febrero de 2024.
“La vulnerabilidad abusa de un mecanismo de retroceso en la implementación del cliente WinReg [RPC] que utiliza protocolos de transporte obsoletos de manera insegura si el transporte SMB no está disponible”, dijo el investigador de Akamai, Stiv Kupchik dicho.
“Al explotar esta vulnerabilidad, un atacante puede transmitir los detalles de autenticación NTLM del cliente a los Servicios de certificados de Active Directory (ADCS) y solicitar un certificado de usuario para aprovechar la autenticación adicional en el dominio.”
La susceptibilidad de NTLM a los ataques de retransmisión no ha pasado desapercibida para Microsoft, que, a principios de mayo reiterado sus planes para retirar NTLM en Windows 11 a favor de Kerberos como parte de sus esfuerzos para fortalecer la autenticación del usuario.
“Si bien la mayoría de los servidores y clientes de RPC están seguros hoy en día, es posible, de vez en cuando, descubrir reliquias de implementación insegura en diversos grados”, dijo Kupchik. “En este caso, logramos lograr el relevo NTLM, que es una clase de ataques que mejor pertenece al pasado.”
Fuente: hackernews