Beveiligingsfout in Styra’s OPA stelt NTLM-hashes bloot aan aanvallers op afstand

Er zijn details naar voren gekomen over een inmiddels gepatchte beveiligingsfout in Styra’s Open Policy Agent (OPA) die, indien succesvol misbruikt, had kunnen leiden tot het lekken van New Technology LAN Manager (NTLM)-hashes.

“Door de kwetsbaarheid had een aanvaller de NTLM-referenties van het lokale gebruikersaccount van de OPA-server naar een externe server kunnen lekken, waardoor de aanvaller mogelijk de authenticatie kon doorgeven of het wachtwoord kon kraken”, aldus cyberbeveiligingsbedrijf Tenable in een rapport gedeeld met The Hacker. Nieuws.

Het beveiligingslek, beschreven als een Server Message Block (SMB)-kwetsbaarheid voor gedwongen authenticatie en bijgehouden als CVE-2024-8260 (CVSS-score: 6,1/7,3), heeft gevolgen voor zowel de CLI als de Go Software Development Kit (SDK) voor Windows.

In de kern komt het probleem voort uit een onjuiste invoervalidatie die kan leiden tot ongeautoriseerde toegang door het lekken van de Net-NTLMv2-hash van de gebruiker die momenteel is ingelogd op het Windows-apparaat waarop de OPA-applicatie draait.

Om dit te laten werken, moet het slachtoffer echter in staat zijn om uitgaand SMB-verkeer (Server Message Block) te initiëren via poort 445. Enkele van de andere vereisten die bijdragen aan de gemiddelde ernst worden hieronder vermeld:

  • Een eerste voet aan de grond in de omgeving, of social engineering van een gebruiker, die de weg vrijmaakt voor de uitvoering van de OPA CLI
  • Een Universal Naming Convention (UNC)-pad doorgeven in plaats van een Rego-regelbestand als argument voor OPA CLI of de functies van de OPA Go-bibliotheek

De op deze manier vastgelegde inloggegevens kunnen vervolgens worden bewapend om een ​​relay-aanval uit te voeren om de authenticatie te omzeilen, of om offline te kraken om het wachtwoord te achterhalen.

“Wanneer een gebruiker of applicatie probeert toegang te krijgen tot een externe share op Windows, wordt de lokale machine gedwongen zich via NTLM te authenticeren bij de externe server”, zegt Tenable-beveiligingsonderzoeker Shelly Raban.

“Tijdens dit proces wordt de NTLM-hash van de lokale gebruiker naar de externe server gestuurd. Een aanvaller kan dit mechanisme gebruiken om de inloggegevens te achterhalen, waardoor hij of zij de authenticatie kan doorgeven of de hashes offline kan kraken.”

Na de verantwoorde openbaarmaking op 19 juni 2024 werd het beveiligingslek verholpen in versie 0.68.0, uitgebracht op 29 augustus 2024.

“Nu open-sourceprojecten worden geïntegreerd in wijdverbreide oplossingen, is het van cruciaal belang om ervoor te zorgen dat ze veilig zijn en leveranciers en hun klanten niet blootstellen aan een groter aanvalsoppervlak”, aldus het bedrijf. “Bovendien moeten organisaties de publieke blootstelling van diensten minimaliseren, tenzij dit absoluut noodzakelijk is om hun systemen te beschermen.”

De onthulling komt op het moment dat Akamai licht werpt op een privilege-escalatiefout in de Microsoft Remote Registry Service (CVE-2024-43532, CVSS-score: 8.8), waardoor een aanvaller SYSTEEM-privileges kan verkrijgen door middel van een NTLM-relay. Het werd eerder deze maand gepatcht door de technologiegigant nadat het op 1 februari 2024 was gemeld.

“De kwetsbaarheid maakt misbruik van een fallback-mechanisme in de WinReg (RPC)-clientimplementatie dat verouderde transportprotocollen op onveilige wijze gebruikt als het SMB-transport niet beschikbaar is”, aldus Akamai-onderzoeker Stiv Kupchik.

“Door misbruik te maken van dit beveiligingslek kan een aanvaller de NTLM-authenticatiegegevens van de klant doorgeven aan de Active Directory Certificate Services (ADCS) en een gebruikerscertificaat aanvragen om te gebruiken voor verdere authenticatie in het domein.”

De gevoeligheid van NTLM voor relay-aanvallen is niet onopgemerkt gebleven door Microsoft, dat eerder dit jaar zijn plannen herhaalde om NTLM in Windows 11 stop te zetten ten gunste van Kerberos als onderdeel van zijn inspanningen om de gebruikersauthenticatie te versterken.

“Hoewel de meeste RPC-servers en -clients tegenwoordig veilig zijn, is het van tijd tot tijd mogelijk om overblijfselen van onveilige implementatie in verschillende mate bloot te leggen”, aldus Kupchik. “In dit geval zijn we erin geslaagd om NTLM-relay te realiseren, een klasse van aanvallen die beter tot het verleden behoort.”

Thijs Van der Does