マイクロソフト社のリモート・レジストリー・クライアントに存在する脆弱性の概念実証コードが公開された。この脆弱性は、認証プロセスのセキュリティをダウングレードすることで、Windowsドメインを制御するために使用される可能性がある。
この脆弱性はCVE-2024-43532として追跡されており、SMBトランスポートが存在しない場合に古いトランスポートプロトコルに依存するWindowsレジストリ(WinReg)クライアント実装のフォールバックメカニズムを利用している。
このセキュリティ問題を悪用する攻撃者は、NTLM認証をActive Directory Certificate Services (ADCS)にリレーし、さらにドメイン認証用のユーザー証明書を取得することができる。
この欠陥は、2008年から2022年までのすべてのWindowsサーバーバージョン、およびWindows 10とWindows 11に影響する。
脆弱性と悪用の詳細
CVE-2024-43532は、マイクロソフトのリモート・レジストリー・クライアントが、SMBトランスポートが利用できない特定のフォールバック・シナリオ中にRPC(リモート・プロシージャ・コール)認証を処理する方法に起因する。
この問題が発生すると、クライアントはTCP/IPのような古いプロトコルに切り替え、弱い認証レベル(RPC_C_AUTHN_LEVEL_CONNECT)を使用し、接続の真正性や完全性を検証しません。
攻撃者はクライアントからの NTLM 認証ハンドシェイクを傍受し、(ADCS) などの別のサービスに転送することで、サーバを認証し、新しいドメイン管理者アカウントを作成することができる。

CVE-2024-43532 の悪用に成功すると、WinReg コンポーネントを利用して認証の詳細をリレーし、ドメインの乗っ取りにつながる可能性のある NTLM リレー攻撃を実行する新しい方法が生まれます。
過去にも NTLM リレー攻撃を使って、Windows ドメインを乗っ取る脅威がありました。その一例がLockFile ランサムウェアの一団で、発見された直後にPetitPotam を使用して米国とアジアの様々な組織を標的としていました。
この脆弱性はアカマイの研究者 Stiv Kupchik によって発見され、2月1日にマイクロソフト社に公表された。しかしマイクロソフト社は4月25日、この報告を「文書上の問題」として却下しました。
6月中旬、Kupchik 氏はより良い概念実証(PoC)と説明を添えてレポートを再提出し、Microsoft は7月8日にこの脆弱性を確認しました。その3カ月後、マイクロソフトは修正プログラムをリリースした。
研究者は今回、イタリアのベルガモで開催されたNo Hat セキュリティカンファレンスにおいて、CVE-2024-43532 の実用的な PoC を公開し、リレーサーバーの作成からターゲットからのユーザー証明書の取得までの悪用プロセスについて説明しました。
アカマイのレポートでは、マシンでリモートレジストリサービスが有効になっているかどうかを判断する方法や、脆弱な WinAPI を使用するクライアントを検出するための YARA ルールも紹介しています。
研究者はまた、Event Tracing for Windows (ETW) を使用して、WinReg RPC インターフェイスに関連するものを含む特定の RPC コールを監視することも推奨しています。
Comments