WinReg: cambiar de SMB abre oportunidades para hackear Windows

Akamai descubrió una vulnerabilidad en el cliente MS-RPC que permite llevar a cabo un ataque NTLM Relay. RPC es un elemento clave de Windows que soporta el funcionamiento de muchos servicios. A pesar de las medidas de seguridad implementadas, algunos componentes siguen siendo vulnerables a ataques.

El problema de escalada de privilegios CVE-2024-43532 (puntuación CVSS: 8.8) está relacionado con el uso de protocolos de transporte obsoletos en el mecanismo de conmutación por reserva del cliente WinReg. Si el protocolo SMB no está disponible, el sistema cambia a protocolos de transporte inseguros, lo que permite a los atacantes ejecutar un ataque NTLM Relay al aprovechar la retransmisión de datos de autenticación.

La explotación del error permite interceptar los datos de autenticación NTLM del cliente y redirigirlos a los Servicios de Certificados de Active Directory (ADCS), lo que permite a los atacantes solicitar un certificado de usuario para la autenticación en el dominio. Como resultado, pueden crear nuevas cuentas privilegiadas a nivel de dominio, lo que abre la posibilidad de un control prolongado sobre el sistema.

La vulnerabilidad afecta a todas las versiones de Windows sin la actualización correspondiente. Microsoft solucionó el problema en octubre de 2024 como parte del Patch Tuesday, después de la divulgación responsable de la vulnerabilidad por parte de los investigadores en febrero de 2024.

El problema está relacionado con la función BaseBindToMachine en advapi32.dll. En algunos casos, la función utiliza un nivel de autenticación inseguro RPC_C_AUTHN_LEVEL_CONNECT, lo que permite a los atacantes realizar un ataque de tipo Machine-in-the-Middle. Si el transporte principal SMB no está disponible, el cliente cambia a TCP/IP y otros protocolos, lo que abre la posibilidad de interceptar datos y ejecutar el ataque.

Los atacantes pueden utilizar herramientas como ntlmrelayx para interceptar y retransmitir datos de autenticación. En particular, la vulnerabilidad permite interactuar con ADCS, solicitar certificados y utilizarlos para la autenticación posterior en el dominio.

Como medida de protección, se recomienda instalar inmediatamente la actualización de octubre de Microsoft y realizar una auditoría del uso de Remote Registry en la red. Para identificar clientes vulnerables, se pueden utilizar reglas YARA que rastrean las llamadas a la función RegConnectRegistry desde advapi32.dll.

Además, los especialistas aconsejan deshabilitar el servicio Remote Registry si no se está utilizando, y configurar reglas de segmentación para el tráfico dirigido a este servicio. La monitorización del tráfico RPC mediante Event Tracing for Windows (ETW) también puede ayudar a detectar actividad sospechosa y prevenir ataques.