5 février 2021

La Minute Cyber – Le relais NTLM renait de ses cendres grâce à la CVE 2021-1678

Durant le typique patch du mardi de Microsoft « Tuesday patch », une vulnérabilité presque passée inaperçue a été patchée par le géant américain. Cette vulnérabilité est connue sous le nom de CVE-2021-1678 (https://nvd.nist.gov/vuln/detail/CVE-2021-1678) et a été découverte par Yaron Zinar un chercheur en cybersécurité de Preempt, une entreprise acquise par Crowdstrike. Décrite par Microsoft comme étant un contournement de la fonctionnalité de sécurité NTLM, cette faille possède un score CVSS de 4.8 et impacte quasiment toute les versions de Windows (Windows Server 2012R2, 2008, 2016, 2019, Windows RT 8.1, 7 et 10) (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1678).

Dans l’avis de sécurité émis par Crowdstrike (https://www.crowdstrike.com/blog/cve-2021-1678-printer-spooler-relay-security-advisory/), nous apprenons qu’un attaquant pourrait être en mesure de relayer des sessions NTLM vers une machine victime, puis par la suite utiliser une interface MSRPC de spouleur d’imprimante pour exécuter du code à distance sur la machine cible.

Une attaque par relais de session est une attaque de type homme du milieu permettant à un attaquant ayant au préalable une patte sur le réseau local, d’intercepter le trafic d’authentification légitime entre un client et un serveur et de relayer ces demandes d’authentification validées afin d’accéder aux services réseau.

Depuis le patch MS08-068 (https://docs.microsoft.com/fr-fr/security-updates/securitybulletins/2008/ms08-068), il n’est plus possible pour un attaquant d’effectuer du « relais réflectif » vers la même machine sur tous les protocoles (SMB => SMB par exemple).

Cependant, il reste possible en 2021, d’effectuer du relais NTLM de n’importe quel protocole vers n’importe quel protocole tant que les protections requises ne sont pas en place telle que la signature de paquets par exemple.

Dans cette étude, l’équipe Crowdstrike a décidé de se concentrer sur le protocole MSRPC qui implémente un système de sécurité différent des protocoles plus classiques tels que SMB ou LDAP. Ce système de sécurité différent rend le protocole vulnérable aux attaques de type relais (CVE-2020-1113) (https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1113).

En se penchant sur le relais NTLM via MSRPC, les chercheurs ont découvert qu’une interface RPC pour la gestion du spouleur d’imprimante à distance (IRemoteWinspool) pouvait être exploitée pour exécuter une série d’opérations RPC et écrire des fichiers arbitraires sur une machine cible à l’aide d’une session NTLM interceptée.

Plus précisément, une fois qu’une session NTLM est établie avec la machine relais contrôlée par l’attaquant, il sera possible de se lier à l’interface IRemoteWinspool sur une cible souhaitée et choisir le niveau d’authentification de RPC RPC_C_AUTHN_LEVEL_CONNECT (n’applique aucun chiffrement ni signature des commandes). Une série de commandes RPC similaires à celui de l’exploitation du PrinterDemon (https://windows-internals.com/printdemon-cve-2020-1048/) pourra alors être exécutée une fois que l’authentification NTLM sera relayée par l’attaquant sur le canal RPC établi.

Afin de contourner cette nouvelle vulnérabilité, l’équipe de Crowdstrike recommande d’installer le patch correctif Microsoft du 12 janvier ainsi que d’activer le mode « Enforcement » sur les serveurs d’impression. À compter de la mise à jour du 8 juin 2021, ce mode sera activé par défaut sur tous les appareils Windows.

Abonnez-vous à notre newsletter :
https://bssi.us16.list-manage.com/subscribe?u=c9e6e764e04f6e1fc851affc1&id=99cac03e82

5 février 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *