Especialistas detalham nova vulnerabilidade remota para Windows

Publicado por Igor Matsunaga em

Muitos detalhes surgiram sobre uma vulnerabilidade de desvio de recursos de segurança no Windows NT Lan Manager (NTLM) que foi abordada pela Microsoft como parte de suas atualizações mensais do Patch Tuesday no início deste mês.

A falha, rastreada como CVE-2021-1678 (CVSS pontuação 4.3), foi descrita como uma falha “explorável remotamente” encontrada em um componente vulnerável ligado à pilha de rede, embora os detalhes exatos da falha permaneçam desconhecidos.

Agora, de acordo com pesquisadores da Crowdstrike, o bug de segurança, se não corrigido, pode permitir que um malfeitor obtenha a execução remota de código por meio de um relé NTLM.

“Esta vulnerabilidade permite que um invasor retransmita sessões de autenticação NTLM para uma máquina atacada e use uma interface MSRPC do spooler de uma impressora para executar remotamente o código na máquina atacada”, informaram os pesquisadores em um comunicado na sexta-feira.

Ataques de retransmissão NTLM são um tipo de ataques man-in-the-middle (MitM) que normalmente permitem que invasores com acesso a uma rede interceptem o tráfego de autenticação legítimo entre um cliente e um servidor e retransmitam essas solicitações de autenticação validadas para acessar serviços de rede .

Embora esses ataques possam ser impedidos pela assinatura SMB e LDAP e pela ativação da Proteção Avançada para Autenticação ( EPA ), o CVE-2021-1678 explora uma vulnerabilidade no MSRPC (Chamada de Procedimento Remoto da Microsoft) que o torna vulnerável a um ataque de retransmissão.

Descoberta

Especificamente, foi descoberto que o IRemoteWinspool – uma interface RPC para gerenciamento remoto de spooler de impressora – pode ser aproveitada para executar uma série de operações RPC e gravar arquivos arbitrários em uma máquina alvo usando uma sessão NTLM interceptada.

Conclusão da vulnerabilidade

A princípio a Microsoft, em um documento de suporte , disse que abordou a vulnerabilidade “aumentando o nível de autenticação RPC, introduzindo uma nova política e criando uma chave de registro para permitir que os clientes desabilitem ou habilitem o modo de imposição no lado do servidor para aumentar o nível de autenticação”.

Além de instalar a atualização do Windows de 12 de janeiro, a empresa pediu às organizações que ativassem o modo de imposição no servidor de impressão, uma configuração que, segundo ela, será habilitada em todos os dispositivos Windows por padrão a partir de 8 de junho de 2021.

Que a segurança esteja com você!!!

Fonte: Hackernews

Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

0 comentário

Deixe um comentário

Avatar placeholder

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *