Sono emersi ulteriori dettagli su una vulnerabilità di bypass della funzionalità di protezione in Windows NT LAN Manager (NTLM) che è stata trattata da Microsoft come sezione dei suoi regolari aggiornamenti del Patch Tuesday all’inizio di questo periodo di trenta giorni.
Il difetto, rintracciato come CVE-2021-1678 (punteggio CVSS 4,3), è stato descritto come un difetto “sfruttabile a distanza” identificato in una parte vulnerabile certa per lo stack di rete, nonostante il fatto che aspetti specifici del difetto rimanessero poco familiari.
Ora, secondo i ricercatori di Crowdstrike, il bug di sicurezza, se ancora senza patch, potrebbe consentire a un attore scadente di realizzare l’esecuzione di codice remoto tramite un relay NTLM.
“Questa vulnerabilità consente a un utente malintenzionato di inoltrare sessioni di autenticazione NTLM a una macchina attaccata e di utilizzare un’interfaccia MSRPC dello spooler di stampante per eseguire in remoto il codice sul dispositivo attaccato“, hanno riferito i ricercatori in un avviso di venerdì.
Gli attacchi di inoltro NTLM sono un tipo di attacchi MitM (person-in-the-center) che normalmente consentono agli aggressori con accessibilità a una rete di intercettare visitatori di autenticazione affidabili tra un cliente e un server e inoltrare queste richieste di autenticazione convalidate in acquisto alle società di rete.
Gli exploit produttivi potrebbero anche consentire a un avversario di eseguire codice in remoto su un’apparecchiatura Windows o spostarsi lateralmente sulla rete a unità critiche come i server che ospitano controller di dominio riutilizzando le credenziali NTLM dirette al server compromesso.
Sebbene questo tipo di attacchi possa essere sventato dalla firma SMB e LDAP e dall’attivazione della Difesa aumentata per l’autenticazione (EPA), CVE-2021-1678 sfrutta un punto debole in MSRPC (Microsoft Remote Method Get in touch with) che lo rende vulnerabile a un attacco a staffetta.
In esclusiva, gli scienziati hanno scoperto che IRemoteWinspool, un’interfaccia RPC per l’amministrazione di spooler di stampanti a distanza, potrebbe essere utilizzata per eseguire una serie di operazioni RPC e pubblicare file di dati arbitrari su una macchina di destinazione applicando una sessione NTLM intercettata.
Microsoft, in un documento di supporto, ha affermato di aver affrontato la vulnerabilità “aumentando la fase di autenticazione RPC e introducendo una nuova politica e una nuova chiave di registro per consentire agli acquirenti di disabilitare o aiutare la modalità di applicazione sull’aspetto server per migliorare il livello di autenticazione“.
Oltre a inserire l’aggiornamento di Windows del 12 gennaio, l’azienda ha esortato le organizzazioni ad attivare la modalità di applicazione sul server di stampa, una posizione che si dice sarà abilitata su tutti i gadget di Windows per impostazione predefinita a partire dall’8 giugno 2021.
