VietNetwork.Vn

Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật hiện đã được vá trong Open Policy Agent (OPA) của Styra, nếu khai thác thành công, có thể dẫn đến rò rỉ hàm băm của New Technology LAN Manager (NTLM).

Công ty an ninh mạng Tenable cho biết trong một báo cáo chia sẻ với The Hacker News: "Lỗ hổng bảo mật này có thể cho phép kẻ tấn công rò rỉ thông tin xác thực NTLM của tài khoản người dùng cục bộ trên máy chủ OPA tới máy chủ từ xa, có khả năng cho phép kẻ tấn công chuyển tiếp thông tin xác thực hoặc bẻ khóa mật khẩu".


Lỗ hổng bảo mật, được mô tả là lỗ hổng xác thực bắt buộc của Server Message Block (SMB) và được theo dõi là CVE-2024-8260 (điểm CVSS: 6,1/7,3), ảnh hưởng đến cả CLI và bộ công cụ phát triển phần mềm (SDK) Go dành cho Windows.

Về cơ bản, vấn đề bắt nguồn từ việc xác thực đầu vào không đúng cách, có thể dẫn đến truy cập trái phép bằng cách rò rỉ mã băm Net-NTLMv2 của người dùng hiện đang đăng nhập vào thiết bị Windows đang chạy ứng dụng OPA.

Tuy nhiên, để điều này có hiệu quả, nạn nhân phải ở vị trí có thể khởi tạo lưu lượng Server Message Block (SMB) đi qua cổng 445. Một số điều kiện tiên quyết khác góp phần vào mức độ nghiêm trọng trung bình được liệt kê dưới đây -

• Một chỗ đứng ban đầu trong môi trường hoặc kỹ thuật xã hội của người dùng, mở đường cho việc thực hiện OPA CLI
• Truyền đường dẫn Quy ước đặt tên chung (UNC) thay vì tệp quy tắc Rego làm đối số cho OPA CLI hoặc các hàm của thư viện OPA Go

Thông tin xác thực bị thu thập theo cách này sau đó có thể được sử dụng để dàn dựng một cuộc tấn công chuyển tiếp nhằm bỏ qua quá trình xác thực hoặc thực hiện bẻ khóa ngoại tuyến để trích xuất mật khẩu.

Nhà nghiên cứu bảo mật Shelly Raban của Tenable cho biết: "Khi người dùng hoặc ứng dụng cố gắng truy cập vào một chia sẻ từ xa trên Windows, nó sẽ buộc máy cục bộ phải xác thực với máy chủ từ xa thông qua NTLM".

"Trong quá trình này, hàm băm NTLM của người dùng cục bộ được gửi đến máy chủ từ xa. Kẻ tấn công có thể tận dụng cơ chế này để lấy thông tin xác thực, cho phép chúng chuyển tiếp xác thực hoặc bẻ khóa hàm băm ngoại tuyến."

Sau khi tiết lộ có trách nhiệm vào ngày 19 tháng 6 năm 2024, lỗ hổng bảo mật đã được giải quyết trong phiên bản 0.68.0 phát hành vào ngày 29 tháng 8 năm 2024.

"Khi các dự án nguồn mở được tích hợp vào các giải pháp rộng rãi, điều quan trọng là phải đảm bảo chúng an toàn và không khiến các nhà cung cấp và khách hàng của họ phải chịu nhiều bề mặt tấn công hơn", công ty lưu ý. "Ngoài ra, các tổ chức phải giảm thiểu việc công khai các dịch vụ trừ khi thực sự cần thiết để bảo vệ hệ thống của họ".

Tiết lộ này được đưa ra khi Akamai làm sáng tỏ một lỗ hổng leo thang đặc quyền trong Microsoft Remote Registry Service ( CVE-2024-43532, điểm CVSS: 8,8) có thể cho phép kẻ tấn công giành được đặc quyền HỆ THỐNG thông qua một rơle NTLM. Gã khổng lồ công nghệ này đã vá lỗ hổng này vào đầu tháng này sau khi được báo cáo vào ngày 1 tháng 2 năm 2024.

Nhà nghiên cứu Stiv Kupchik của Akamai cho biết : "Lỗ hổng này lạm dụng cơ chế dự phòng trong quá trình triển khai máy khách WinReg [RPC], sử dụng các giao thức truyền tải lỗi thời một cách không an toàn nếu truyền tải SMB không khả dụng".

"Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể chuyển tiếp thông tin xác thực NTLM của máy khách tới Dịch vụ chứng chỉ Active Directory (ADCS) và yêu cầu chứng chỉ người dùng để tận dụng cho mục đích xác thực tiếp theo trong miền."

Microsoft đã nhận thấy khả năng NTLM dễ bị tấn công trở lại. Đầu tháng 5, Microsoft đã nhắc lại kế hoạch ngừng sử dụng NTLM trong Windows 11 để chuyển sang Kerberos như một phần trong nỗ lực tăng cường xác thực người dùng.

Kupchik cho biết: "Mặc dù hầu hết các máy chủ và máy khách RPC hiện nay đều an toàn, nhưng đôi khi vẫn có thể phát hiện ra các di tích của việc triển khai không an toàn ở các mức độ khác nhau". "Trong trường hợp này, chúng tôi đã đạt được NTLM relay, đây là một loại tấn công tốt hơn là thuộc về quá khứ".