Han surgido detalles sobre una falla de seguridad ahora parcheada en el Open Policy Agent (OPA) de Styra que, si se hubiera explotado con éxito, podría haber llevado a la filtración de hashes de New Technology LAN Manager (NTLM).
“La vulnerabilidad podría haber permitido a un atacante filtrar las credenciales NTLM de la cuenta de usuario local del servidor OPA a un servidor remoto, lo que podría permitir al atacante transmitir la autenticación o descifrar la contraseña”, dijo la firma de ciberseguridad Tenable en un informe compartido con The Hacker. Noticias.
La falla de seguridad, descrita como una vulnerabilidad de autenticación forzada del Bloque de mensajes del servidor (SMB) y rastreada como CVE-2024-8260 (puntuación CVSS: 6.1/7.3), afecta tanto a la CLI como al kit de desarrollo de software (SDK) Go para Windows.
En esencia, el problema surge de una validación de entrada incorrecta que puede conducir a un acceso no autorizado al filtrar el hash Net-NTLMv2 del usuario que actualmente ha iniciado sesión en el dispositivo Windows que ejecuta la aplicación OPA.
Sin embargo, para que esto funcione, la víctima debe estar en condiciones de iniciar el tráfico saliente del Bloque de mensajes del servidor (SMB) a través del puerto 445. Algunos de los otros requisitos previos que contribuyen a la gravedad media se enumeran a continuación:
- Un punto de apoyo inicial en el entorno, o ingeniería social de un usuario, que allana el camino para la ejecución de la CLI de OPA.
- Pasar una ruta de Convención de nomenclatura universal (UNC) en lugar de un archivo de reglas Rego como argumento para OPA CLI o las funciones de la biblioteca OPA Go
La credencial capturada de esta manera podría usarse como arma para realizar un ataque de retransmisión con el fin de eludir la autenticación o realizar un descifrado fuera de línea para extraer la contraseña.
“Cuando un usuario o una aplicación intenta acceder a un recurso compartido remoto en Windows, obliga a la máquina local a autenticarse en el servidor remoto a través de NTLM”, dijo la investigadora de seguridad de Tenable, Shelly Raban.
“Durante este proceso, el hash NTLM del usuario local se envía al servidor remoto. Un atacante puede aprovechar este mecanismo para capturar las credenciales, lo que le permite transmitir la autenticación o descifrar los hashes fuera de línea”.
Tras la divulgación responsable el 19 de junio de 2024, la vulnerabilidad se solucionó en la versión 0.68.0 lanzada el 29 de agosto de 2024.
“A medida que los proyectos de código abierto se integran en soluciones generalizadas, es crucial garantizar que sean seguros y no expongan a los proveedores y sus clientes a una mayor superficie de ataque”, señaló la compañía. “Además, las organizaciones deben minimizar la exposición pública de los servicios a menos que sea absolutamente necesario para proteger sus sistemas”.
La divulgación se produce cuando Akamai arrojó luz sobre una falla de escalada de privilegios en el Servicio de Registro Remoto de Microsoft (CVE-2024-43532, puntuación CVSS: 8.8) que podría permitir a un atacante obtener privilegios del SISTEMA mediante una retransmisión NTLM. El gigante tecnológico lo parchó a principios de este mes después de que se informara el 1 de febrero de 2024.
“La vulnerabilidad abusa de un mecanismo de respaldo en la implementación del cliente WinReg (RPC) que utiliza protocolos de transporte obsoletos de manera insegura si el transporte SMB no está disponible”, dijo el investigador de Akamai, Stiv Kupchik.
“Al explotar esta vulnerabilidad, un atacante puede transmitir los detalles de autenticación NTLM del cliente a los Servicios de certificados de Active Directory (ADCS) y solicitar un certificado de usuario para aprovechar una mayor autenticación en el dominio”.
La susceptibilidad de NTLM a los ataques de retransmisión no ha pasado desapercibida para Microsoft, que, a principios de mayo, reiteró sus planes de retirar NTLM en Windows 11 en favor de Kerberos como parte de sus esfuerzos para fortalecer la autenticación de usuarios.
“Si bien la mayoría de los servidores y clientes RPC son seguros hoy en día, es posible, de vez en cuando, descubrir reliquias de implementación insegura en diversos grados”, dijo Kupchik. “En este caso, logramos lograr la retransmisión NTLM, que es una clase de ataques que es mejor que pertenezca al pasado”.