
Rincian telah muncul tentang kelemahan keamanan yang sekarang telah ditambal di Open Policy Agent (OPA) Styra yang, jika berhasil dieksploitasi, dapat menyebabkan kebocoran hash New Technology LAN Manager (NTLM).
“Kerentanan ini memungkinkan penyerang membocorkan kredensial NTLM dari akun pengguna lokal server OPA ke server jarak jauh, sehingga berpotensi memungkinkan penyerang menyampaikan otentikasi atau memecahkan kata sandi,” kata perusahaan keamanan siber Tenable dalam laporan yang dibagikan kepada The Hacker. Berita.
Kelemahan keamanan, digambarkan sebagai kerentanan otentikasi paksa Blok Pesan Server (SMB) dan dilacak sebagai CVE-2024-8260 (skor CVSS: 6.1/7.3), berdampak pada CLI dan kit pengembangan perangkat lunak (SDK) Go untuk Windows.

Pada intinya, masalah ini berasal dari validasi masukan yang tidak tepat yang dapat menyebabkan akses tidak sah dengan membocorkan hash Net-NTLMv2 dari pengguna yang saat ini masuk ke perangkat Windows yang menjalankan aplikasi OPA.
Namun, agar ini berfungsi, korban harus berada dalam posisi untuk memulai lalu lintas Blok Pesan Server (SMB) keluar melalui port 445. Beberapa prasyarat lain yang berkontribusi terhadap tingkat keparahan sedang tercantum di bawah –
- Pijakan awal dalam lingkungan, atau rekayasa sosial pengguna, yang membuka jalan bagi pelaksanaan OPA CLI
- Melewati jalur Konvensi Penamaan Universal (UNC) alih-alih file aturan Rego sebagai argumen ke OPA CLI atau fungsi perpustakaan OPA Go
Kredensial yang ditangkap dengan cara ini kemudian dapat digunakan untuk melakukan serangan relai untuk melewati otentikasi, atau melakukan peretasan offline untuk mengekstrak kata sandi.
“Ketika pengguna atau aplikasi mencoba mengakses share jarak jauh di Windows, hal itu memaksa mesin lokal untuk mengautentikasi ke server jarak jauh melalui NTLM,” kata peneliti keamanan Tenable Shelly Raban.
“Selama proses ini, hash NTLM dari pengguna lokal dikirim ke server jarak jauh. Seorang penyerang dapat memanfaatkan mekanisme ini untuk menangkap kredensial, memungkinkan mereka untuk menyampaikan otentikasi atau memecahkan hash secara offline.”
Setelah pengungkapan yang bertanggung jawab pada 19 Juni 2024, kerentanan telah diatasi dalam versi 0.68.0 yang dirilis pada 29 Agustus 2024.
“Ketika proyek-proyek sumber terbuka terintegrasi ke dalam solusi-solusi yang tersebar luas, penting untuk memastikan bahwa proyek-proyek tersebut aman dan tidak memaparkan vendor dan pelanggan mereka terhadap peningkatan serangan,” kata perusahaan itu. “Selain itu, organisasi harus meminimalkan paparan layanan publik kecuali benar-benar diperlukan untuk melindungi sistem mereka.”
Pengungkapan ini terjadi ketika Akamai menjelaskan kelemahan eskalasi hak istimewa di Layanan Registri Jarak Jauh Microsoft (CVE-2024-43532, skor CVSS: 8.8) yang memungkinkan penyerang mendapatkan hak istimewa SISTEM melalui relai NTLM. Itu ditambal oleh raksasa teknologi awal bulan ini setelah dilaporkan pada 1 Februari 2024.

“Kerentanan ini menyalahgunakan mekanisme fallback di WinReg [RPC] implementasi klien yang menggunakan protokol transport yang sudah ketinggalan zaman menjadi tidak aman jika transport SMB tidak tersedia,” kata peneliti Akamai, Stiv Kupchik.
“Dengan mengeksploitasi kerentanan ini, penyerang dapat menyampaikan rincian otentikasi NTLM klien ke Layanan Sertifikat Direktori Aktif (ADCS), dan meminta sertifikat pengguna untuk memanfaatkan otentikasi lebih lanjut di domain.”
Kerentanan NTLM terhadap serangan relay tidak luput dari perhatian Microsoft, yang pada awal Mei ini, menegaskan kembali rencananya untuk menghentikan NTLM di Windows 11 demi Kerberos sebagai bagian dari upayanya untuk memperkuat otentikasi pengguna.
“Meskipun sebagian besar server dan klien RPC saat ini aman, ada kemungkinan, dari waktu ke waktu, untuk mengungkap peninggalan implementasi yang tidak aman pada tingkat yang berbeda-beda,” kata Kupchik. “Dalam hal ini, kami berhasil mencapai relai NTLM, yang merupakan kelas serangan yang lebih baik dari masa lalu.”