Han surgido más detalles sobre una vulnerabilidad de omisión de características de seguridad en Windows NT LAN Manager ( NTLM ) que Microsoft abordó como parte de sus actualizaciones mensuales de Patch Tuesday a principios de este mes.
La falla, rastreada como CVE-2021-1678 (puntaje CVSS 4.3), fue descrita como una falla «remotamente explotable» encontrada en un componente vulnerable vinculado a la pila de red, aunque los detalles exactos de la falla permanecieron desconocidos.
Ahora, según los investigadores de Crowdstrike, el error de seguridad, si no se corrige, podría permitir que un mal actor logre la ejecución remota de código a través de un relé NTLM.
«Esta vulnerabilidad permite a un atacante retransmitir sesiones de autenticación NTLM a una máquina atacada y utilizar una interfaz MSRPC de cola de impresión para ejecutar código de forma remota en la máquina atacada», dijeron los investigadores en un aviso del viernes.
Los ataques de retransmisión NTLM son un tipo de ataques man-in-the-middle (MitM) que normalmente permiten a los atacantes con acceso a una red interceptar el tráfico de autenticación legítimo entre un cliente y un servidor y retransmitir estas solicitudes de autenticación validadas para acceder a los servicios de red. .
Los exploits exitosos también podrían permitir que un adversario ejecute código de forma remota en una máquina con Windows o se mueva lateralmente en la red a sistemas críticos como servidores que alojan controladores de dominio al reutilizar las credenciales NTLM dirigidas al servidor comprometido.
Si bien estos ataques pueden frustrarse mediante la firma de SMB y LDAP y la activación de la Protección mejorada para la autenticación (EPA), CVE-2021-1678 explota una debilidad en MSRPC (Llamada a procedimiento remoto de Microsoft) que lo hace vulnerable a un ataque de retransmisión.
Específicamente, los investigadores descubrieron que IRemoteWinspool, una interfaz RPC para la gestión remota de la cola de impresión, podría aprovecharse para ejecutar una serie de operaciones RPC y escribir archivos arbitrarios en una máquina de destino utilizando una sesión NTLM interceptada.
Microsoft, en un documento de soporte , dijo que abordó la vulnerabilidad «aumentando el nivel de autenticación RPC e introduciendo una nueva política y clave de registro para permitir a los clientes deshabilitar o habilitar el modo de aplicación en el lado del servidor para aumentar el nivel de autenticación».
Además de instalar la actualización de Windows del 12 de enero, la compañía ha instado a las organizaciones a activar el modo de cumplimiento en el servidor de impresión, una configuración que, según dice, estará habilitada en todos los dispositivos Windows de forma predeterminada a partir del 8 de junio de 2021.
