A Microsoft acaba de corrigir uma vulnerabilidade apelidada de ShadowCoerce, divulgada anteriormente como parte das atualizações de junho de 2022. Essa vulnerabilidade permitiam que invasores visassem servidores Windows em ataques de retransmissão NTLM.
Ataque de retransmissão NTLM
O ataque de retransmissão NTLM pode ser usado por agentes de ameaças para forçar servidores não corrigidos a se autenticarem em servidores sob o controle do invasor, levando a uma invasão do domínio do Windows.
Como o BleepingComputer foi informado por um porta-voz da Microsoft, embora não tenha havido nenhum anúncio público sobre esse problema, o “PoC de abuso de coerção MS-FSRVP, também conhecido como ShadowCoerce, foi mitigado com CVE-2022-30154, que afetou o mesmo componente”.
Embora seja bom que a Microsoft tenha corrigido essa vulnerabilidade, a empresa ainda não forneceu nenhum detalhe publicamente e ainda não atribuíram uma ID CVE. Isso fez com que empresas de segurança e pesquisadores pedissem mais transparência a Microsoft e incluíssem mais informações sobre o que foi corrigido em seus boletins de segurança.
Abuso de protocolo baseado em RPC leva à aquisição de domínio
ShadowCoerce foi descoberto e detalhado pela primeira vez pelo pesquisador de segurança Lionel Gilles no final de 2021, no final de uma apresentação mostrando o ataque PetitPotam.
Felizmente, esse método de ataque só pode forçar a autenticação pelo MS-FSRVP (Protocolo VSS Remoto do Servidor de Arquivos) em sistemas nos quais o Serviço do Agente VSS do Servidor de Arquivos está ativado. MS-FSRVP é um protocolo baseado em RPC (chamada de procedimento remoto) usado para criar cópias de sombra de compartilhamento de arquivos em computadores remotos.
Infelizmente, como Gilles demonstrou, esse protocolo também é vulnerável a ataques de retransmissão NTLM que permitem aos agentes de ameaças forçar um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob seu controle.
O servidor malicioso então retransmite a solicitação de autenticação para os Serviços de Certificados do Active Directory (AD CS) de um domínio para obter um tíquete de concessão de tíquete Kerberos (TGT) que permite que o invasor represente qualquer dispositivo de rede, incluindo um controlador de domínio do Windows. Depois de representar um controlador de domínio, eles obterão privilégios elevados que podem ser usados ??para assumir o domínio do Windows.
No entanto, esses tipos de ataques exigem que uma rede já esteja comprometida por um agente de ameaças e que os serviços associados estejam em execução e acessíveis em um servidor de destino.
Ataques e mitigações de retransmissão NTLM
Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, os agentes de ameaças podem usar vários métodos, incluindo os protocolos MS-RPRN e MS-EFSRPC.
A Microsoft ainda precisa lidar com o ataque de retransmissão DFSCoerce Windows NTLM, que usa o MS-DFSNM, um protocolo que permite o gerenciamento do Windows Distributed File System (DFS) em uma interface RPC.
Quando solicitado por mais detalhes sobre o DFSCoerce, a Microsoft aconselhou os administradores a habilitar a autenticação multifator e instalar todas as atualizações de segurança disponíveis o mais rápido possível para bloquear o ataque DFSCoerce em seus ambientes.
Pesquisadores e especialistas em segurança também disseram à BleepingComputer que a melhor maneira de evitar esses ataques é seguir o conselho da Microsoft para mitigar o ataque de retransmissão PetitPotam NTLM.
