Windows Remote Registry Vulnerability Exposes Systems to Attacks

Windows Registry Vulnerability Exposes Systems to Attacks

A serious security flaw, identified as CVE-2024-43532, has been discovered in the Windows Remote Registry client. This flaw, known as an Elevation of Privilege (EoP) vulnerability, could allow attackers to relay NTLM authentication and gain unauthorized access to Windows systems.

हिंदी के लिए नीचे स्क्रॉल करे

Key Details

• Severity: The vulnerability has a high CVSS score of 8.8.
• Affected Systems: All unpatched versions of Windows.
• Discovery: Found by Akamai researcher Stiv Kupchik, it was disclosed to Microsoft in February 2024 and patched in October 2024’s Patch Tuesday update.

How the Vulnerability Works

The issue lies in the BaseBindToMachine function in advapi32.dll. This function is used to connect to remote registries. If the usual SMB connection fails, it falls back to older, insecure transport protocols.

Specifically, the problem occurs when:

1. The connection switches to alternatives like TCP/IP.
2. The RpcBindingSetAuthInfoA function uses a weak authentication level.

Windows Registry Vulnerability Exposes Systems to Attacks

This fallback lets attackers intercept and relay NTLM authentication details, creating risks for sensitive systems.

Potential Impact

Attackers exploiting this flaw can:

• Steal NTLM credentials.
• Relay these credentials to Active Directory Certificate Services (ADCS).
• Request certificates to escalate privileges and gain deeper access within a network.

Even though the Remote Registry service is disabled by default, several critical Windows components like AD CS, Encrypting File System (EFS), and Distributed File System (DFS) use the vulnerable functions, making systems susceptible to attack.

How to Detect and Protect Against the Vulnerability

1. Check Service Status: Use tools like osquery to see if the Remote Registry service is active:sqlCopyEditSELECT display_name, status, start_type, pid FROM services WHERE name='RemoteRegistry';
2. YARA Rules: Detect binaries using vulnerable functions.
3. Network Segmentation: Limit traffic to Remote Registry services.
4. Monitor RPC Traffic: Use Event Tracing for Windows (ETW) to track suspicious RPC activity.
5. Update Systems: Ensure the latest Microsoft security patches are applied.

This vulnerability highlights the need to secure older protocols and regularly audit systems for risks.

For more info click here

for other topics click here

---

हिंदी में पड़े

विंडोज रिमोट रजिस्ट्री में खामी से सुरक्षा जोखिम

CVE-2024-43532 नामक एक गंभीर सुरक्षा खामी विंडोज रिमोट रजिस्ट्री क्लाइंट में पाई गई है। यह खामी सिस्टम में NTLM प्रमाणीकरण (Authentication) को हैक करके अनधिकृत एक्सेस (Unauthorized Access) की अनुमति देती है।

मुख्य विवरण

• गंभीरता: इस खामी का CVSS स्कोर 8.8 है।
• प्रभावित सिस्टम: सभी पुराने और अनअपडेटेड विंडोज वर्जन।
• खोज: इसे Akamai के शोधकर्ता Stiv Kupchik ने खोजा और फरवरी 2024 में माइक्रोसॉफ्ट को रिपोर्ट किया। इसे अक्टूबर 2024 में पैच किया गया।

यह खामी कैसे काम करती है?

यह समस्या विंडोज API के advapi32.dll के BaseBindToMachine फंक्शन में है। जब यह फंक्शन SMB कनेक्शन में विफल रहता है, तो यह असुरक्षित प्रोटोकॉल का उपयोग करता है।

विशेष रूप से, समस्या तब होती है जब:

1. कनेक्शन TCP/IP जैसे विकल्पों पर स्विच करता है।
2. RpcBindingSetAuthInfoA कमजोर प्रमाणीकरण स्तर का उपयोग करता है।

इस असुरक्षित व्यवस्था का फायदा उठाकर हमलावर NTLM प्रमाणीकरण विवरण चुरा सकते हैं और उन्हें अन्य सिस्टम पर रिले कर सकते हैं।

संभावित प्रभाव

इस खामी का फायदा उठाकर हमलावर:

• NTLM क्रेडेंशियल्स चुरा सकते हैं।
• ADCS का उपयोग कर प्रमाणपत्र हासिल कर सकते हैं।
• नेटवर्क में उच्च स्तर की पहुंच प्राप्त कर सकते हैं।

हालांकि, रिमोट रजिस्ट्री सेवा डिफॉल्ट रूप से बंद होती है, फिर भी AD CS, EFS, और DFS जैसे महत्वपूर्ण विंडोज कंपोनेंट इसका उपयोग करते हैं, जिससे जोखिम बढ़ सकता है।

कैसे पहचानें और बचाव करें?

1. सर्विस की स्थिति जांचें: osquery जैसे टूल का उपयोग करें:sqlCopyEditSELECT display_name, status, start_type, pid FROM services WHERE name='RemoteRegistry';
2. YARA नियम: कमजोर फंक्शन का उपयोग करने वाले बाइनरी फाइल्स की पहचान करें।
3. नेटवर्क सुरक्षा: रिमोट रजिस्ट्री सेवा की ट्रैफिक सीमित करें।
4. RPC मॉनिटर करें: ETW का उपयोग करके संदिग्ध RPC गतिविधियों पर नजर रखें।
5. सिस्टम अपडेट करें: लेटेस्ट सिक्योरिटी पैच इंस्टॉल करें।

यह खामी दिखाती है कि पुराने प्रोटोकॉल को सुरक्षित बनाना और नियमित सुरक्षा ऑडिट करना कितना जरूरी है।

अधिक जानकारी के लिए यहाँ क्लिक करे
दूसरे टॉपिक्स के लिए यहाँ क्लिक करे