Des détails ont été révélés sur une faille de sécurité désormais corrigée dans l’Open Policy Agent de Styra (OPA) qui, s’ils avaient été exploités avec succès, auraient pu conduire à une fuite de New Technology LAN Manager (NTLM) hachages.
“La vulnérabilité aurait pu permettre à un attaquant de divulguer les informations d’identification NTLM du compte utilisateur local du serveur OPA vers un serveur distant, permettant potentiellement à l’attaquant de relayer l’authentification ou de déchiffrer le mot de passe”, a déclaré la société de cybersécurité Tenable. dit dans un rapport partagé avec The Hacker News.
La faille de sécurité, décrite comme une vulnérabilité d’authentification forcée Server Message Block (SMB) et suivie comme CVE-2024-8260 (score CVSS : 6,1/7,3), impacte à la fois le kit de développement logiciel (SDK) CLI et Go pour Windows.
Au fond, le problème découle d’un validation d’entrée incorrecte cela peut conduire à un accès non autorisé en divulguant le hachage Net-NTLMv2 de l’utilisateur actuellement connecté au périphérique Windows exécutant l’application OPA.
Cependant, pour que cela fonctionne, la victime doit être en mesure d’initier le trafic SMB (Server Message Block) sortant sur le port 445. Certaines des autres conditions préalables qui contribuent à la gravité moyenne sont répertoriées ci-dessous :
- Un premier ancrage dans l’environnement, ou ingénierie sociale d’un utilisateur, qui ouvre la voie à l’exécution de l’OPA CLI
- Passer un chemin UNC (Universal Naming Convention) au lieu d’un fichier de règles Rego comme argument à OPA CLI ou aux fonctions de la bibliothèque OPA Go
Les informations d’identification capturées de cette manière pourraient ensuite être utilisées pour organiser une attaque par relais afin de contourner l’authentification, ou effectuer un piratage hors ligne pour extraire le mot de passe.
“Lorsqu’un utilisateur ou une application tente d’accéder à un partage distant sous Windows, cela force la machine locale à s’authentifier auprès du serveur distant via NTLM”, a déclaré Shelly Raban, chercheuse en sécurité chez Tenable.
“Au cours de ce processus, le hachage NTLM de l’utilisateur local est envoyé au serveur distant. Un attaquant peut exploiter ce mécanisme pour capturer les informations d’identification, lui permettant ainsi de relayer l’authentification ou de déchiffrer les hachages hors ligne.”
Suite à une divulgation responsable le 19 juin 2024, la vulnérabilité a été corrigée dans version 0.68.0 sorti le 29 août 2024.
« À mesure que les projets open source sont intégrés dans des solutions largement répandues, il est crucial de garantir qu’ils sont sécurisés et n’exposent pas les fournisseurs et leurs clients à une surface d’attaque accrue », a noté la société. “De plus, les organisations doivent minimiser l’exposition publique de leurs services, sauf si cela est absolument nécessaire pour protéger leurs systèmes.”
Cette divulgation intervient alors qu’Akamai met en lumière une faille d’élévation de privilèges dans le service Microsoft Remote Registry (CVE-2024-43532score CVSS : 8,8) qui pourrait permettre à un attaquant d’obtenir les privilèges SYSTEM au moyen d’un relais NTLM. Il a été corrigé par le géant de la technologie plus tôt ce mois-ci après avoir été signalé le 1er février 2024.
“La vulnérabilité abuse d’un mécanisme de secours dans WinReg [RPC] “une implémentation client qui utilise des protocoles de transport obsolètes de manière non sécurisée si le transport SMB n’est pas disponible”, Stiv Kupchik, chercheur chez Akamai. dit.
“En exploitant cette vulnérabilité, un attaquant peut relayer les détails d’authentification NTLM du client vers les services de certificats Active Directory (ADCS) et demander un certificat utilisateur à exploiter pour une authentification plus poussée dans le domaine.”
La susceptibilité de NTLM aux attaques par relais n’est pas passée inaperçue auprès de Microsoft, qui, plus tôt en mai, a réitéré son intention de retirer NTLM dans Windows 11 au profit de Kerberos dans le cadre de ses efforts visant à renforcer l’authentification des utilisateurs.
“Bien que la plupart des serveurs et clients RPC soient sécurisés de nos jours, il est possible, de temps en temps, de découvrir des vestiges d’une mise en œuvre non sécurisée à des degrés divers”, a déclaré Kupchik. “Dans ce cas, nous avons réussi à réaliser le relais NTLM, qui est une classe d’attaques qui appartient mieux au passé.”