首页 网络安全 正文
  • 本文约2588字,阅读需13分钟
  • 252
  • 0

Microsoft Remote Registry Service漏洞CVE-2024-43532

摘要

栋科技漏洞库关注到 Microsoft Remote Registry Service 特权提升漏洞CVE-2024-43532的技术细节及漏洞概念验证代码在互联网上公开。

Microsoft Remote Registry Service(远程注册表服务)是Windows 系统一项服务,允许远程用户通过网络访问和修改计算机上的注册表。

Microsoft Remote Registry Service漏洞CVE-2024-43532

栋科技漏洞库关注到 Microsoft Remote Registry Service 特权提升漏洞CVE-2024-43532的技术细节及漏洞概念验证代码在互联网上公开。

一、基本情况

Microsoft Remote Registry Service 允许远程用户修改此计算机上的注册表设置,如果此服务被终止,此计算机上的用户才能修改注册表。

Akamai 研究员 Stiv Kupchik 发现 Microsoft Remote Registry Service 中存在一项缺陷,并在2024年02月01日的时候将其披露给微软官方。

微软在2024年04月25日驳回报告,称其为“文档问题”;Kupchik于2024年06月中旬重新提交报告,并附上更好的概念验证(PoC)和解释。

微软于2024年07月08日确认其为远程注册表服务权限提升漏洞,追踪为CVE-2024-43532,CVSS评分8.8,于2024年10月发布修复程序。

2024年10月23日,科技媒体 bleepingcomputer 报道指出,CVE-2024-43532 漏洞相关技术细节和PoC概念验证代码已经在互联网上公开。

二、漏洞分析

CVE-2024-43532 漏洞源于 Microsoft Remote Registry 客户端在SMB传输不可用或不存在的情况下会回退到 RPC(远程过程调用)认证。

回退后会切换到较旧协议(如TCP/IP)并且会采用弱认证级别(RPC_C_AUTHN_LEVEL_CONNECT),该级别无法验证通信完整性或来源。

攻击者可以利用这一漏洞,通过拦截NTLM 身份验证握手并将其中继到其他服务(如ADCS),实现 NTLM 中继攻击,进而获得权限提升。

攻击者可利用该漏洞执行特制恶意脚本,将 NTLM 认证转发到 Active Directory 证书服务 (ADCS),获取用户证书以进行进一步的域认证。

然后实现对RPC主机的RPC调用,然后导致攻击者服务器的权限提升从而获得 SYSTEM 权限,进而可能创建域管理员账户或接管整个域。

该漏洞影响所有Windows Server版本,从2008到2022,以及Windows 10和Windows 11,微软现已在10月补丁星期二发布的更新中修复。

三、漏洞影响

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

四、修复建议

目前该漏洞已在微软10月补丁星期二发布的安全更新中修复,受影响用户可及时修复。

四、参考链接

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-43532

标签:微软公司网络安全栋科技漏洞库
评论
更换验证码
友情链接