learn.hack.repeat

Étiquette : Microsoft Page 7 of 8

CVE-2021-33766

de

On 31/08/2021

dans CVE

Bien qu’elle ait fait l’objet d’un correctif en juillet, des détails viennent d’apparaître sur la CVE-2021-33766, ou ProxyToken dans Exchange, qui vient s’ajouter à la série de vulnérabilités récentes de ce système. Il permet de voler des informations de la boîte de réception de n’importe quel utilisateur et est très facile à exploiter avec un POST où voyage l’email de la victime et un cookie avec la valeur « SecurityToken=x ».

Dans Exchange, les ports 80 et 443 sont créés pour le front-end et 81 et 444 pour le back-end vers lequel il redirige en s’attendant à ce qu’il résolve l’authentification déléguée s’il voit le SecurityToken non vide. Mais pour une raison quelconque, le back-end (l’ECP, le panneau de contrôle Exchange) laisse passer tout ce qui arrive avec un SecurityToken non vide parce que le module DelegatedAuthModule qui devrait être chargé de l’authentification n’est pas chargé par défaut.

Pour l’exploiter, l’attaquant doit également connaître un « ECP canary », qui est comme un cookie de session. Mais en essayant d’attaquer, le système renvoie un 500 avec une valeur valide qui peut être réinjectée avec le cookie « SecurityToken=x » et modifier la configuration d’Exchange.

Plus d’information:
https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server

Print Nightmare

de

On 12/08/2021

dans CVE, Sécurité

Il est difficile de suivre tous les bugs liés au spooleur d’impression de Microsoft qui apparaissent ces derniers temps. Juste après avoir publié une mise à jour censée corriger (bien qu’il ne soit pas entièrement confirmé qu’elle corrige) les problèmes d’élévation du spooleur d’impression, Microsoft vient de reconnaître un autre bogue qui permet une élévation facile du SYSTÈME. CVE-2021-36958.

Aucune solution n’est donnée, il est seulement recommandé de désactiver le spouleur d’impression (et de l’empêcher d’imprimer). Ce qui est curieux, c’est qu’elle a reconnu ce bug 8 mois après qu’un chercheur l’ait signalé en décembre 2020. Peut-être a-t-elle été mise sous pression par les conclusions du créateur de Mimikatz, qui analyse les bugs depuis #printNightmare.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

Patch Tuesday

de

On 11/08/2021

dans CVE, Sécurité

Très peu de vulnérabilités corrigées ce mois-ci (44 en comptant les vulnérabilités « pures » de Microsoft et 51 en comptant celles partagées avec Cromium) par Microsoft compte tenu de l’escalade de privilèges et du désastre d’Exchange que nous avons subi ces dernières semaines. 7 sont critiques, deux étaient déjà connus et un était exploité par des attaquants.

  • Parmi les deux connues, l’une est la célèbre liée à la file d’attente d’impression. CVE-2021-36936. Comme il y avait plusieurs bogues à cet égard, Microsoft s’est en fait attaqué au comportement de la fameuse fonctionnalité Point and Print, qui semble être la source de tous les problèmes. Quoi qu’il en soit, il semble, d’après les tests effectués par plusieurs chercheurs, que le problème n’est toujours pas complètement résolu.
  • L’autre est petitPotam CVE-2021-36942. Ce qu’il a fait, c’est de bloquer l’accès aux appels API qui ont été utilisés pour forcer une tentative d’authentification NTLM.
  • L’un des plus sérieux cependant est CVE-2021-26424. Il s’agit de l’exécution de code dans la pile TCP/IP qui gère l’ipv6.
  • Un autre bug très grave est celui du service Windows Update Medic, qui récupère le système à partir d’un état corrompu.
  • 6 bugs ont également été corrigés dans Chromium.

Plus d’information:
https://msrc.microsoft.com/update-guide

PetitPotam

de

On 02/08/2021

dans CVE, Sécurité

PetitPotam n’est toujours pas résolu, et Microsoft recommande toujours de regarder la lune et non le doigt, c’est-à-dire de désactiver Web PKI sur un domaine alors qu’en fait le problème est double : continuer à utiliser le protocole d’authentification NTLM en général, et le fait que vous pouvez vous connecter via RPC aux appels MS-EFSR sans authentification. Mais quelqu’un s’est souvenu d’une solution alternative, puisqu’il n’est pas possible d’arrêter complètement le service de cryptage et bien sûr de bloquer l’accès RPC au système : bloquer les filtres RPC spécifiques avec netsh.
Lors de la communication avec les tuyaux efsrpc et lsarpc, le client et le serveur échangent un UUID spécifique pour savoir de quoi ils parlent, comme l’indique la documentation elle-même :

“Remote servers MAY respond to EFSRPC messages sent using the well-known endpoint \pipe\lsarpc. When connecting to \pipe\efsrpc, the server interface is identified by UUID [df1941c5-fe89-4e79-bf10-463657acf44d], version 1.0. When connecting to \pipe\lsarpc, the server interface is identified by UUID [c681d488-d850-11d0-8c52-00c04fd90f7e”

L’astuce consiste à bloquer ces UUID avec ces commandes (enregistrées dans un fichier txt) :

rpc
filter
add rule layer=um actiontype=block add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Et ensuite l’exécuter avec netsh -f file.txt

Plus d’information:
https://twitter.com/gentilkiwi/status/1421949715986403329

PetitPotam

de

On 26/07/2021

dans CVE, Sécurité

Après #printNightmare et #SeriousSAM vient PetitPotam. Il s’agit d’une demande du réseau interne pour des requêtes SMB au protocole MS-EFSRPC de la victime. Lors d’une tentative d’authentification, il partagera son hachage NTLM avec l’attaquant. A partir de là, avec des techniques connues de « pass the hash », il peut prendre le contrôle du contrôleur de domaine. Il s’agit en fait d’une nouvelle façon d’exploiter de vieux problèmes dont l’environnement des contrôleurs de domaine Windows souffre depuis des années. L’origine de la faille est que l’attaquant « provoque » la victime pour qu’elle s’authentifie, de sorte qu’il lui envoie tout ce dont il a besoin pour voler les informations nécessaires pour se faire passer pour elle.

Dans ce cas, après avoir « provoqué » la victime, l’attaque profite du fait que les services de certification Active Directory utilisent NTLM sur HTTP pour s’authentifier. L’idée est d’essayer d’obtenir un certificat valide via IIS une fois que le hachage « volé » a été obtenu. Mais cela n’a en fait rien à voir avec PetitPotam.

Il existe une preuve de concept. Microsoft a publié un avis, mais curieusement, les détails de l’attaque sont très rares. En gros, les mesures habituelles contre les attaques par relais NTLM : activer Extended Protection for Authentication (EPA) ou signer les paquets SMB. Microsoft ne mentionne même pas le vecteur d’attaque MS-EFSRPC, mais sera obligé de le corriger à l’avenir, car c’est là que réside la faille, dans la possibilité de « demander » à ce protocole de tenter « involontairement » de s’authentifier auprès d’une autre victime. Le fait que ce hash soit ensuite « exploité » par « Active Directory Certificate Services » n’est qu’une formule pour prendre le contrôle de l’Active Directory, puisqu’avec ce certificat, l’attaquant tentera probablement d’obtenir un ticket Kerberos signé.

Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

Page 7 of 8

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén