Exploit released for new Windows Server "WinReg" NTLM Relay attack

マイクロソフト社のリモート・レジストリー・クライアントに存在する脆弱性の概念実証コードが公開された。この脆弱性は、認証プロセスのセキュリティをダウングレードすることで、Windowsドメインを制御するために使用される可能性がある。

この脆弱性はCVE-2024-43532として追跡されており、SMBトランスポートが存在しない場合に古いトランスポートプロトコルに依存するWindowsレジストリ(WinReg)クライアント実装のフォールバックメカニズムを利用している。

このセキュリティ問題を悪用する攻撃者は、NTLM認証をActive Directory Certificate Services (ADCS)にリレーし、さらにドメイン認証用のユーザー証明書を取得することができる。

この欠陥は、2008年から2022年までのすべてのWindowsサーバーバージョン、およびWindows 10とWindows 11に影響する。

脆弱性と悪用の詳細

CVE-2024-43532は、マイクロソフトのリモート・レジストリー・クライアントが、SMBトランスポートが利用できない特定のフォールバック・シナリオ中にRPC(リモート・プロシージャ・コール)認証を処理する方法に起因する。

この問題が発生すると、クライアントはTCP/IPのような古いプロトコルに切り替え、弱い認証レベル(RPC_C_AUTHN_LEVEL_CONNECT)を使用し、接続の真正性や完全性を検証しません。

攻撃者はクライアントからの NTLM 認証ハンドシェイクを傍受し、(ADCS) などの別のサービスに転送することで、サーバを認証し、新しいドメイン管理者アカウントを作成することができる。

Exchange between client and relay server during an NTLM authentication relay attack within an RPC session.
ソースはこちら:アカマイ

CVE-2024-43532 の悪用に成功すると、WinReg コンポーネントを利用して認証の詳細をリレーし、ドメインの乗っ取りにつながる可能性のある NTLM リレー攻撃を実行する新しい方法が生まれます。

過去にも NTLM リレー攻撃を使って、Windows ドメインを乗っ取る脅威がありました。その一例がLockFile ランサムウェアの一団で、発見された直後にPetitPotam を使用して米国とアジアの様々な組織を標的としていました。

この脆弱性はアカマイの研究者 Stiv Kupchik によって発見され、2月1日にマイクロソフト社に公表された。しかしマイクロソフト社は4月25日、この報告を「文書上の問題」として却下しました。

6月中旬、Kupchik 氏はより良い概念実証(PoC)と説明を添えてレポートを再提出し、Microsoft は7月8日にこの脆弱性を確認しました。その3カ月後、マイクロソフトは修正プログラムをリリースした

研究者は今回、イタリアのベルガモで開催されたNo Hat セキュリティカンファレンスにおいてCVE-2024-43532 の実用的な PoC を公開し、リレーサーバーの作成からターゲットからのユーザー証明書の取得までの悪用プロセスについて説明しました。

アカマイのレポートでは、マシンでリモートレジストリサービスが有効になっているかどうかを判断する方法や、脆弱な WinAPI を使用するクライアントを検出するための YARA ルールも紹介しています。

研究者はまた、Event Tracing for Windows (ETW) を使用して、WinReg RPC インターフェイスに関連するものを含む特定の RPC コールを監視することも推奨しています。