Rincian lebih lanjut telah muncul tentang kerentanan bypass fitur keamanan Windows NT LAN Manager (NTLM) yang ditangani oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday bulanan awal bulan ini.
Cacat tersebut, terlacak sebagai CVE-2021-1678 (skor CVSS 4.3). Gambarannya sebagai sebuah cacat “yang dapat dieksploitasi dari jarak jauh“.
Yang mana itu terlihat dalam komponen rentan yang terikat ke tumpukan jaringan, meskipun detail pasti dari cacat tersebut masih belum terungkap.
Sekarang menurut peneliti dari Crowdstrike. Bug keamanan, jika tidak mendapat penanganan tidak mendapat perbaikan, dapat memungkinkan aktor jahat mencapai eksekusi kode jarak jauh melalui relai NTLM.
Kerentanan ini memungkinkan penyerang untuk menyampaikan sesi otentikasi NTLM ke mesin yang mendapat serangan.
Dan menggunakan antarmuka MSRPC spooler printer untuk mengeksekusi kode dari jarak jauh pada mesin yang terserang.
kata para peneliti.
Serangan relai NTLM adalah jenis serangan man-in-the-middle (MitM) yang biasanya mengizinkan penyerang dengan akses ke jaringan.
Tujuannya adalah untuk mencegat lalu lintas otentikasi yang sah antara klien dan server. Dan menyampaikan permintaan otentikasi yang valid ini untuk mengakses layanan jaringan.
Para ahli merinci kerentanan Windows yang mungkin memiliki kendali jarak jauh
Eksploitasi yang berhasil juga dapat memungkinkan musuh menjalankan kode dari jarak jauh pada mesin Windows. Atau berpindah secara lateral di jaringan ke sistem kritis.
Seperti server yang menghosting pengontrol domain dengan menggunakan kembali kredensial NTLM yang arahnya berganti ke server yang tersusupi.
Sementara serangan semacam itu dapat memiliki kemungkinan gagal dengan penandatanganan SMB dan LDAP. Dan mengaktifkan Perlindungan yang lebih tinggi untuk Otentikasi (EPA).
CVE-2021-1678 mengeksploitasi kelemahan di MSRPC (Panggilan Prosedur Jarak Jauh Microsoft) yang membuatnya rentan terhadap serangan relai.
Secara khusus, para peneliti menemukan bahwa IRemoteWinspool – antarmuka RPC untuk manajemen spooler printer jarak jauh – dapat menjadi jalan untuk menjalankan serangkaian operasi RPC.
Dan bisa juga untuk menulis file sewenang-wenang pada mesin target menggunakan sesi NTLM yang terinfeksi.
Microsoft, dalam sebuah dokumen pendukung, mengatakan itu mengatasi kerentanan dengan meningkatkan tingkat otentikasi RPC dan memperkenalkan kebijakan baru.
Serta kunci registri untuk memungkinkan pelanggan menonaktifkan atau mengaktifkan mode Penegakan di sisi server untuk meningkatkan tingkat otentikasi.
Selain menginstal pembaruan Windows 12 Januari. Perusahaan telah mendesak organisasi untuk mengaktifkan mode Penegakan pada server cetak. Pengaturan yang kabarnya akan aktif untuk semua perangkat Windows secara default mulai 8 Juni 2021.
