Sebuah celah keamanan yang baru terungkap dalam Microsoft Remote Registry client dapat dimanfaatkan untuk mengambil kendali atas domain Windows dengan cara menurunkan keamanan proses otentikasi. Celah ini, yang dilacak sebagai CVE-2024-43532, memanfaatkan mekanisme fallback yang ada di implementasi client Windows Registry (WinReg). Mekanisme ini menggunakan protokol lama jika protokol SMB tidak tersedia.
Bagaimana Celah ini Bekerja?
CVE-2024-43532 berasal dari cara Microsoft Remote Registry client menangani otentikasi RPC (Remote Procedure Call) dalam skenario fallback tertentu ketika transportasi SMB tidak tersedia. Dalam situasi seperti ini, client beralih ke protokol lama seperti TCP/IP dan menggunakan level otentikasi yang lemah (RPC_C_AUTHN_LEVEL_CONNECT). Level ini tidak memverifikasi keaslian atau integritas koneksi.
Bagaimana Celah ini Dapat Dieksploitasi?
Eksploitasi yang berhasil dari CVE-2024-43532 menghasilkan metode baru untuk melakukan serangan relay NTLM, yang memanfaatkan komponen WinReg untuk meneruskan detail otentikasi yang dapat mengarah pada pengambilalihan domain.
Sejarah Penemuan dan Tanggapan Microsoft
Celah ini ditemukan oleh Stiv Kupchik, peneliti dari Akamai, yang melaporkannya kepada Microsoft pada 1 Februari. Namun, Microsoft menolak laporan tersebut pada 25 April, dengan alasan “masalah dokumentasi.”
Kupchik telah merilis PoC yang berfungsi untuk CVE-2024-43532 dan menjelaskan proses eksploitasi, mulai dari membuat server relay hingga mendapatkan sertifikat pengguna dari target, selama konferensi keamanan No Hat di Bergamo, Italia.
Para peneliti juga merekomendasikan penggunaan Event Tracing for Windows (ETW) untuk memantau panggilan RPC tertentu, termasuk yang terkait dengan antarmuka WinReg RPC.
Dengan meningkatkan kesadaran akan celah keamanan ini dan mengambil langkah-langkah untuk melindungi sistem Anda, Anda dapat mengurangi risiko menjadi korban serangan siber.
- Batasi akses ke layanan yang rentan dan pantau aktivitas jaringan secara teratur.
Tetap waspada:
Perbarui sistem Anda: