Exploit Público para la Vulnerabilidad CVE-2024-43532
Se ha hecho público un código de exploit para una vulnerabilidad en el cliente de Remote Registry de Microsoft, que podría permitir a los atacantes tomar control de un dominio de Windows al debilitar el proceso de autenticación. La vulnerabilidad, identificada como CVE-2024-43532, se aprovecha de un mecanismo de retroceso en la implementación del cliente de Windows Registry (WinReg) que recurre a protocolos de transporte antiguos si el transporte SMB no está presente.
Detalles de la Vulnerabilidad
La vulnerabilidad afecta a todas las versiones del servidor de Windows, desde 2008 hasta 2022, así como a Windows 10 y Windows 11. El problema radica en cómo el cliente de Remote Registry maneja la autenticación RPC (Remote Procedure Call) durante ciertos escenarios de retroceso cuando el transporte SMB no está disponible.
Cuando esto ocurre, el cliente cambia a protocolos más antiguos como TCP/IP y utiliza un nivel de autenticación débil (RPC_C_AUTHN_LEVEL_CONNECT), que no verifica la autenticidad ni la integridad de la conexión. Esto permite que un atacante se autentique en el servidor y cree nuevas cuentas de administrador de dominio al interceptar el apretón de manos de autenticación NTLM del cliente y redirigirlo a otro servicio, como los Servicios de Certificados de Active Directory (ADCS).
Implicaciones de Seguridad
La explotación exitosa de CVE-2024-43532 representa una nueva forma de llevar a cabo un ataque NTLM relay, utilizando el componente WinReg para relajar los detalles de autenticación, lo que podría resultar en la toma de control del dominio. Algunos actores de amenazas han utilizado métodos de ataque NTLM relay en el pasado, como la banda de ransomware LockFile, que atacó a varias organizaciones en EE. UU. y Asia.
Proceso de Descubrimiento
La vulnerabilidad fue descubierta por el investigador de Akamai, Stiv Kupchik, quien la divulgó a Microsoft el 1 de febrero. Sin embargo, Microsoft desestimó el informe el 25 de abril como un “problema de documentación”. En junio, Kupchik volvió a presentar el informe con un mejor código de prueba (PoC) y explicación, lo que llevó a Microsoft a confirmar la vulnerabilidad el 8 de julio. Tres meses después, Microsoft lanzó un parche.
El investigador ha publicado ahora un PoC funcional para CVE-2024-43532, detallando el proceso de explotación, desde la creación de un servidor de relevo hasta la obtención de un certificado de usuario del objetivo, durante la conferencia de seguridad No Hat en Bergamo, Italia.
Recomendaciones para la Mitigación
El informe de Akamai también proporciona un método para determinar si el servicio Remote Registry está habilitado en una máquina, así como una regla YARA para detectar clientes que utilizan una API de Windows vulnerable. Se recomienda utilizar Event Tracing for Windows (ETW) para monitorear llamadas RPC específicas, incluidas aquellas relacionadas con la interfaz RPC de WinReg.
Conclusión
La vulnerabilidad CVE-2024-43532 destaca la importancia de mantener actualizados los sistemas y de implementar medidas de seguridad robustas para prevenir posibles ataques. Las organizaciones deben tomar medidas proactivas para protegerse contra esta nueva amenaza que explota debilidades en la autenticación de Windows.
