CVE-2020-17049 é uma vulnerabilidade de desvio de recurso de segurança Kerberos que agora foi transformada em uma arma por um código de exploração de prova de conceito. O código PoC exibe uma nova técnica de ataque que pode permitir que os agentes da ameaça acessem os serviços conectados à rede.
Esse ataque pode ter várias implicações. Sistemas executando o Windows 10 A atualização de aniversário foi protegida contra dois exploits antes que a Microsoft corrigisse os patches’ problemas. O novo ataque foi classificado como ataque de bit de bronze e patching tem sido bastante desafiador para a Microsoft. Uma correção inicial para o exploit foi lançada no mês passado em novembro 2020 patch Tuesday.
Contudo, alguns clientes da Microsoft estavam tendo problemas com o patch, e um novo teve que ser emitido este mês.
CVE-2020-17049
A pesquisa de segurança Jake Karnes da NetSPI publicou uma análise técnica do CVE-2020-17049 para ajudar os engenheiros de rede a entender melhor a vulnerabilidade. Os pesquisadores também criaram um código de prova de conceito junto com a análise técnica. O pesquisador diz que o ataque do Bit Bronze é uma nova variação dos exploits Golden Ticket e Silver Ticker que visam a autenticação Kerberos. O elemento comum em todas as explorações é que elas podem ser aproveitadas assim que um ator de ameaça violar a rede interna de uma empresa.
Uma vez que o protocolo de autenticação Kerberos está presente em todas as versões padrão do Windows desde 2000, muitos sistemas podem estar em risco. Um invasor que violou pelo menos um sistema em uma rede e extraiu hashes de senha pode usá-los para ignorar e fabricar credenciais para outros sistemas na mesma rede. A única condição é que o protocolo Kerberos esteja em vigor.
O ataque da Bit Bronze difere dos outros dois nas partes que os atacantes procuram comprometer. Nesse caso, os atores da ameaça estão atrás dos protocolos S4U2self e S4U2proxy adicionados pela Microsoft como extensões do protocolo Kerberos. De acordo com Karnes, o protocolo S4U2self é usado para obter um tíquete de serviço para um usuário direcionado ao serviço comprometido. O hash de senha do serviço sempre é abusado.
“O ataque então manipula esse tíquete de serviço, garantindo que seu sinalizador de encaminhamento seja definido (lançando o “Transmitível” mordido para 1). O tíquete de serviço adulterado é então usado no protocolo S4U2proxy para obter um tíquete de serviço para o usuário-alvo para o serviço-alvo,” explica a pesquisadora.
Mais sobre o protocolo Kerberos
O Windows Active Directory usa o protocolo Kerberos para autenticar usuários, servidores, e outros recursos entre si dentro de um domínio. O protocolo é baseado na criptografia de chave simétrica onde cada principal tem uma chave secreta de longo prazo.
Esta chave secreta só é conhecida pelo próprio principal e pelo Centro de distribuição de chaves (KDC). Em um ambiente AD, o controlador de domínio desempenha a função de KDC. (...) Com seu conhecimento da chave secreta de cada diretor, o KDC facilita a autenticação de um principal para outro, emitindo “ingressos.” Esses tickets contêm metadados, informações de autorização e chaves secretas adicionais que podem ser usadas com tickets futuros, Karnes diz em seu artigo teórico.
Como já mencionado, A Microsoft lançou vários patches nos últimos meses para resolver o problema. Esses patches estão localizados no Guia consultivo dedicado do MSRC. Mais informações da Microsoft estão disponíveis neste artigo de suporte.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: