spot_img
22.9 C
São Paulo
spot_img
HomeTop Global NewsAIVulnerabilidade Crítica no Open Policy Agent Revelada!

Vulnerabilidade Crítica no Open Policy Agent Revelada!

Vulnerabilidade Crítica no Open Policy Agent Revelada!
#Segurança #Cibersegurança #OpenPolicyAgent #Vulnerabilidade #NTLM #CVE20248260 #Tenable #Ciberataque
Alegon
By Alegon

Vulnerabilidade no Open Policy Agent: Implicações e Recomendações

Recentemente, detalhes sobre uma falha de segurança que foi corrigida no Open Policy Agent (OPA) da Styra foram divulgados. Essa vulnerabilidade, caso explorada com sucesso, poderia ter levado ao vazamento de hashes do New Technology LAN Manager (NTLM), levantando preocupações significativas sobre a segurança das credenciais em ambientes que utilizam essa tecnologia.

Descrição da Vulnerabilidade

“A vulnerabilidade poderia permitir que um atacante vazasse as credenciais NTLM da conta de usuário local do servidor OPA para um servidor remoto, potencialmente permitindo que o atacante realizasse a retransmissão da autenticação ou quebrasse a senha,” afirmou a empresa de cibersegurança Tenable em um relatório compartilhado com a The Hacker News.

A falha de segurança é caracterizada como uma vulnerabilidade de força de autenticação do Server Message Block (SMB) e está registrada como CVE-2024-8260 (pontuação CVSS: 6.1/7.3). Ela afeta tanto a interface de linha de comando (CLI) quanto o kit de desenvolvimento de software (SDK) em Go para Windows.

Causas e Condições para Exploração

No cerne do problema está uma validação de entrada inadequada, que pode levar a um acesso não autorizado ao vazar o hash Net-NTLMv2 do usuário que atualmente está logado no dispositivo Windows que executa o aplicativo OPA. Para que essa exploração funcione, é necessário que a vítima esteja em posição de iniciar um tráfego SMB de saída pela porta 445. Além disso, algumas das outras condições necessárias que contribuem para a severidade média da falha incluem:

  • Uma presença inicial no ambiente ou engenharia social de um usuário que facilite a execução do CLI do OPA;
  • Passar um caminho de Universal Naming Convention (UNC) em vez de um arquivo de regra Rego como argumento para o CLI do OPA ou para as funções da biblioteca OPA Go.

As credenciais capturadas dessa maneira poderiam ser utilizadas em um ataque de retransmissão (relay attack) para contornar autenticações ou realizar quebras offline para extrair a senha.

Mecanismo de Exploração

“Quando um usuário ou aplicativo tenta acessar um compartilhamento remoto no Windows, isso força a máquina local a autenticar-se no servidor remoto via NTLM,” comentou Shelly Raban, pesquisadora de segurança da Tenable.

“Durante esse processo, o hash NTLM do usuário local é enviado para o servidor remoto. Um atacante pode explorar esse mecanismo para capturar as credenciais, permitindo que eles façam a retransmissão da autenticação ou quebrem os hashes offline.”

Respostas e Correções

Após uma divulgação responsável em 19 de junho de 2024, a vulnerabilidade foi corrigida na versão 0.68.0, lançada em 29 de agosto de 2024. A Tenable destacou a importância de garantir que projetos de código aberto sejam seguros, afirmando:

“À medida que projetos de código aberto se integram a soluções amplas, é crucial garantir que não exponham fornecedores e seus clientes a uma superfície de ataque aumentada.”

Considerações Finais sobre Vulnerabilidades Relacionadas

A revelação da vulnerabilidade no OPA se alinha a outras preocupações de segurança, como a falha de escalonamento de privilégios no Microsoft Remote Registry Service (CVE-2024-43532, pontuação CVSS: 8.8), que poderia permitir que um atacante obtivesse privilégios de SYSTEM por meio de um relay NTLM. Essa falha foi corrigida pela Microsoft recentemente, após ter sido reportada em 1º de fevereiro de 2024.

“A vulnerabilidade explora um mecanismo de fallback na implementação do cliente WinReg [RPC] que utiliza protocolos de transporte obsoletos de forma insegura, se o transporte SMB estiver indisponível,” disse Stiv Kupchik, pesquisador da Akamai.

Sendo assim, a suscetibilidade do NTLM a ataques de retransmissão tem atraído atenção crescente, e a Microsoft já expressou planos de descontinuar essa tecnologia em favor do Kerberos no Windows 11, como parte de seus esforços para fortalecer a autenticação dos usuários.

“Embora a maioria dos servidores e clientes RPC seja segura atualmente, é possível descobrir, de vez em quando, relíquias de implementações inseguras,” concluiu Kupchik. “Neste caso, conseguimos realizar uma retransmissão NTLM, que é uma classe de ataques que melhor pertence ao passado.”

#Segurança #Cibersegurança #OpenPolicyAgent #Vulnerabilidade #NTLM #CVE20248260 #Tenable #Ciberataque

Fonte

Previous article
Alerta: Ataques em Servidores Docker Aumentam!
Next article
Diga Adeus ao Lumma Stealer: Aprenda a Proteger-se!

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us