В Microsoft сообщили, что в рамках июньского «вторника обновлений» была устранена ранее раскрытая уязвимость ShadowCoerce, которая позволяла злоумышленникам атаковать серверы Windows с помощью ретрансляционных NTLM-атак (relay attack). Такие атаки могут использоваться для принудительной аутентификации и захвата домена Windows.
Как сообщает издание Bleeping Computer, со ссылкой на представителя компании Microsoft, пока относительно проблемы ShadowCoerce не было никаких публичных заявлений, но риски от одноименного PoC-эксплоита были смягчены с помощью патча для уязвимости CVE-2022-30154, которая затрагивала тот же компонент.
Журналисты напоминают, что проблема ShadowCoerce была обнаружена и описана в 2021 году французским исследователем Жилем Лионелем (Gilles Lionel), когда тот раскрыл информацию об уязвимости PetitPotam. Как тогда писал эксперт, этот метод атаки позволял осуществить принудительную аутентификацию только через MS-FSRVP (File Server Remote VSS Protocol) в системах со включенной File Server VSS Agent Service.
Тем не менее, Лионель продемонстрировал, что протокол также уязвим для ретрансляционных атак NTLM, которые позволяют вынудить контроллер домена осуществить аутентификацию вредоносного ретранслятора NTLM, находящегося под контролем хакера. Затем вредоносный сервер ретранслирует запрос аутентификации в Active Directory Certificate Services (AD CS) домена, чтобы получить Kerberos TGT, и это позволяет ему выдать себя за любое сетевое устройство, включая сам контроллер домена Windows.
«Тихое» устранение бага ShadowCoerce заметил глава ACROS Security Митя Колсек, когда изучал проблему вместе с командой 0Patch, планируя выпустить для нее неофициальный патч. То есть оказалось, что Microsoft исправила уязвимость, но пока не опубликовала никаких подробностей и даже не присвоила уязвимости идентификатор CVE.
Произошедшее побудило ИБ-компании и независимых исследователей публично обратиться к Microsoft (1, 2, 3, 4) и потребовать от компании большей прозрачности и включения более детальной информации об исправлениях в бюллетени безопасности.
