Microsoft corrige discrètement le bogue ShadowCoerce Windows NTLM Relay

Microsoft a confirmé avoir corrigé une vulnérabilité “ShadowCoerce” précédemment divulguée dans le cadre des mises à jour de juin 2022, qui permettait aux attaquants de cibler les serveurs Windows lors d’attaques par relais NTLM.

Cette méthode d’attaque par relais NTLM peut être utilisée par des acteurs de la menace pour forcer des serveurs non corrigés à s’authentifier contre des serveurs sous le contrôle de l’attaquant, ce qui conduit à une prise de contrôle du domaine Windows.

Comme l’a indiqué un porte-parole de Microsoft à BleepingComputer, bien qu’aucune annonce publique n’ait été faite concernant ce problème, le “MS-FSRVP coercion abuse PoC aka ‘ShadowCoerce’ a été atténué par CVE-2022-30154, qui affectait le même composant.”

BleepingComputer a envoyé un courriel à Redmond après que Mitja Kolsek, PDG d’ACROS Security, ait découvert que ShadowCoerce a été silencieusement corrigé alors qu’il effectuait des recherches avec l’équipe 0Patch pour publier un micropatch.

Bien qu’il soit bon que Microsoft ait corrigé cette vulnérabilité, l’entreprise n’a pas encore fourni de détails publiquement et n’a pas encore attribué d’ID CVE.

Cela a incité les entreprises de sécurité et les chercheurs [1, 2, 3, 4] à demander à Redmond plus de transparence et à inclure plus d’informations sur ce qui a été corrigé dans ses bulletins de sécurité.

L’abus du protocole RPC conduit à la prise de contrôle d’un domaine

ShadowCoerce a été découvert et détaillé pour la première fois par le chercheur en sécurité Lionel Gilles fin 2021, à la fin d’une présentation de l’attaque PetitPotam.

Heureusement, cette méthode d’attaque ne peut forcer l’authentification via le protocole MS-FSRVP (File Server Remote VSS Protocol) que sur les systèmes où le service File Server VSS Agent est activé.

MS-FSRVP est un protocole basé sur l’appel de procédure à distance (RPC) utilisé pour créer des copies fantômes de partage de fichiers sur des ordinateurs distants.

Malheureusement, comme Gilles l’a démontré, ce protocole est également vulnérable aux attaques par relais NTLM qui permettent aux acteurs de la menace de forcer (ou de contraindre) un contrôleur de domaine à s’authentifier auprès d’un relais NTLM malveillant sous leur contrôle.

Le serveur malveillant relaie ensuite (ou fait suivre) la demande d’authentification aux services de certification Active Directory (AD CS) d’un domaine pour obtenir un ticket Kerberos (TGT) qui permet à l’attaquant de se faire passer pour n’importe quel périphérique réseau, y compris un contrôleur de domaine Windows.

Après avoir usurpé l’identité d’un contrôleur de domaine, il obtient des privilèges élevés qu’il peut utiliser pour prendre le contrôle du domaine Windows.

Cependant, ces types d’attaques nécessitent qu’un réseau soit déjà compromis par un acteur de la menace et que les services associés soient exécutés et accessibles sur un serveur ciblé.

Attaques par relais NTLM et mesures d’atténuation

Pour contraindre un serveur distant à s’authentifier contre un relais NTLM malveillant, les acteurs de la menace peuvent utiliser diverses méthodes, notamment les protocoles MS-RPRN et MS-EFSRPC (PetitPotam).

En mai, Redmond a également corrigé un zero-day d’usurpation de LSA Windows activement exploité (suivi sous le nom de CVE-2022-26925 et confirmé ultérieurement comme étant une variante de PetitPotam) qui peut être utilisé pour une élévation de privilèges via une authentification forcée sur toutes les versions de Windows.

Microsoft doit encore s’attaquer à l’attaque DFSCoerce Windows NTLM relay, qui utilise MS-DFSNM, un protocole permettant de gérer le système de fichiers distribués (DFS) de Windows via une interface RPC.

Le mois dernier, le chercheur en sécurité Filip Dragovic a publié un script de preuve de concept DFSCoerce qui peut être utilisé pour relayer l’authentification contre des serveurs arbitraires permettant à des utilisateurs ayant un accès limité à un domaine Windows de devenir administrateur de domaine.

Lorsqu’on lui a demandé plus de détails sur DFSCoerce, Microsoft a conseillé aux administrateurs d’activer l’authentification multifactorielle et d’installer toutes les mises à jour de sécurité disponibles dès que possible pour bloquer l’attaque DFSCoerce dans leurs environnements.

Des chercheurs et des experts en sécurité ont également déclaré à BleepingComputer que la meilleure façon de prévenir de telles attaques est de suivre l’avis de Microsoft sur l’atténuation de l’attaque par relais NTLM PetitPotam.

Les mesures d’atténuation recommandées comprennent la désactivation des services Web sur les serveurs de services de certification Active Directory, la désactivation de NTLM sur les contrôleurs de domaine et l’activation de la protection étendue pour l’authentification et les fonctions de signature (telles que la signature SMB) pour protéger les informations d’identification Windows.