Styra公司的开放策略代理(OPA)中存在一个已打补丁的安全漏洞,如果被成功利用,可能会导致新技术局域网管理器(NTLM)哈希值泄露。
网络安全公司 Tenable 在与 The Hacker News 分享的一份报告中说:“该漏洞可能允许攻击者将 OPA 服务器本地用户账户的 NTLM 凭据泄漏到远程服务器,从而可能允许攻击者中继验证或破解密码。”
该安全漏洞被描述为服务器消息块(SMB)强制验证漏洞,并被追踪为 CVE-2024-8260(CVSS 得分:6.1/7.3),同时影响到 CLI 和 Windows 版 Go 软件开发工具包(SDK)。
该问题的核心是输入验证不当,可能会泄露当前登录到运行 OPA 应用程序的 Windows 设备的用户的 Net-NTLMv2 哈希值,从而导致未经授权的访问。
然而,要实现这一点,受害者必须能够通过 445 端口启动出站服务器消息块 (SMB) 流量。造成中等严重程度的其他一些先决条件如下
- 在环境中的初始立足点,或对用户实施社会工程,为执行 OPA CLI 铺平道路
- 将通用命名约定 (UNC) 路径而非 Rego 规则文件作为参数传递给 OPA CLI 或 OPA Go 库函数
以这种方式获取的凭据可被用来发动中继攻击,以绕过身份验证,或执行离线破解以提取密码。
Tenable 安全研究员 Shelly Raban 说:“当用户或应用程序试图访问 Windows 上的远程共享时,它会强制本地计算机通过 NTLM 向远程服务器进行身份验证。”
“在此过程中,本地用户的 NTLM 哈希值会被发送到远程服务器。攻击者可以利用这一机制捕获凭证,从而中继身份验证或离线破解哈希值。”
继 2024 年 6 月 19 日负责任地披露之后,该漏洞已在 2024 年 8 月 29 日发布的 0.68.0 版本中得到解决。
该公司指出:“随着开源项目被集成到广泛的解决方案中,确保它们的安全性并避免供应商及其客户面临更大的攻击面至关重要。此外,企业必须尽量减少服务的公开曝光,除非绝对有必要保护其系统。”
就在Akamai披露这一漏洞的同时,微软远程注册服务(Microsoft Remote Registry Service,CVE-2024-43532,CVSS评分:8.8)中的一个权限升级漏洞也被曝光,该漏洞可允许攻击者通过NTLM中继获得SYSTEM权限。在 2024 年 2 月 1 日报告该漏洞后,该科技巨头已于本月早些时候对其进行了修补。
Akamai 研究员 Stiv Kupchik 说:“该漏洞滥用了 WinReg [RPC] 客户端实现中的回退机制,如果 SMB 传输不可用,它就会不安全地使用过时的传输协议。”
“通过利用这一漏洞,攻击者可以将客户端的 NTLM 身份验证详细信息转发给 Active Directory 证书服务(ADCS),并请求用户证书,以便在域中进一步进行身份验证。”
微软并没有忽视 NTLM 易受中继攻击的问题,今年 5 月早些时候,微软重申其计划在 Windows 11 中淘汰 NTLM,转而使用 Kerberos,作为其加强用户身份验证工作的一部分。
Kupchik 说:“虽然现在大多数 RPC 服务器和客户端都是安全的,但仍有可能不时发现不同程度的不安全实施遗迹。“在这种情况下,我们设法实现了 NTLM 中继,这是一类最好属于过去的攻击。”
发表评论
您还未登录,请先登录。
登录