Styra 公司的开放策略代理 (OPA) 中存在一个已修复的安全漏洞，如果被成功利用，可能会导致新技术局域网管理器 (NTLM) 哈希值泄露。该漏洞被描述为服务器消息块 (SMB) 强制验证漏洞，可能允许攻击者将 OPA 服务器本地用户账户的 NTLM 凭据泄露到远程服务器，从而可能允许攻击者中继验证或破解密码。该漏洞的核心是输入验证不当，可能会泄露当前登录到运行 OPA 应用程序的 Windows 设备的用户的 Net-NTLMv2 哈希值，从而导致未经授权的访问。为了实现这一点，受害者必须能够通过 445 端口启动出站服务器消息块 (SMB) 流量。此外，攻击者还需要在环境中获得初始立足点或对用户实施社会工程，以执行 OPA CLI 或将通用命名约定 (UNC) 路径而非 Rego 规则文件作为参数传递给 OPA CLI 或 OPA Go 库函数。

🤔 **漏洞概述:** 该漏洞被称为服务器消息块 (SMB) 强制验证漏洞，可能会导致攻击者获取 OPA 服务器本地用户账户的 NTLM 凭据。 该漏洞的核心是输入验证不当，可能导致泄露当前登录到运行 OPA 应用程序的 Windows 设备的用户的 Net-NTLMv2 哈希值，从而导致未经授权的访问。 要成功利用该漏洞，攻击者需要满足一些先决条件，例如： * 攻击者需要能够通过 445 端口启动出站服务器消息块 (SMB) 流量。 * 攻击者需要在环境中获得初始立足点或对用户实施社会工程，以执行 OPA CLI 或将通用命名约定 (UNC) 路径而非 Rego 规则文件作为参数传递给 OPA CLI 或 OPA Go 库函数。

🔐 **漏洞影响:** 成功利用该漏洞后，攻击者可以获取用户的 NTLM 哈希值，并利用这些哈希值发动中继攻击，绕过身份验证，或执行离线破解以提取密码。 NTLM 哈希值是存储在 Windows 系统中的用户密码的加密形式，攻击者可以利用这些哈希值进行身份验证或破解密码。

🛡️ **漏洞修复:** 该漏洞已在 2024 年 8 月 29 日发布的 0.68.0 版本中得到解决。 Styra 公司建议用户尽快升级到最新版本，以确保系统安全。

📢 **安全建议:** 企业应尽量减少服务的公开曝光，除非绝对有必要保护其系统。 此外，企业应确保其使用的所有软件都已更新到最新版本，并采取其他安全措施，例如使用强密码和多因素身份验证，以防止攻击者利用漏洞获取敏感信息。

⚠️ **其他安全漏洞:** 除了 Styra OPA 漏洞之外，微软远程注册服务 (Microsoft Remote Registry Service) 中也存在一个权限升级漏洞 (CVE-2024-43532)，该漏洞可允许攻击者通过 NTLM 中继获得 SYSTEM 权限。 该漏洞滥用了 WinReg [RPC] 客户端实现中的回退机制，如果 SMB 传输不可用，它就会不安全地使用过时的传输协议。攻击者可以利用这一漏洞将客户端的 NTLM 身份验证详细信息转发给 Active Directory 证书服务 (ADCS)，并请求用户证书，以便在域中进一步进行身份验证。 微软已于本月早些时候对其进行了修补。

💡 **NTLM 淘汰趋势:** 微软已于今年 5 月早些时候重申其计划在 Windows 11 中淘汰 NTLM，转而使用 Kerberos，作为其加强用户身份验证工作的一部分。 NTLM 易受中继攻击，因此微软正在逐步淘汰 NTLM，并鼓励用户使用更安全的身份验证机制，例如 Kerberos。

🎉 **结语:** 随着开源项目被集成到广泛的解决方案中，确保它们的安全性并避免供应商及其客户面临更大的攻击面至关重要。 企业应及时关注安全漏洞信息，并采取必要的措施来保护其系统安全。

Styra公司的开放策略代理（OPA）中存在一个已打补丁的安全漏洞，如果被成功利用，可能会导致新技术局域网管理器（NTLM）哈希值泄露。网络安全公司 Tenable 在与 The Hacker News 分享的一份报告中说：“该漏洞可能允许攻击者将 OPA 服务器本地用户账户的 NTLM 凭据泄漏到远程服务器，从而可能允许攻击者中继验证或破解密码。”该安全漏洞被描述为服务器消息块（SMB）强制验证漏洞，并被追踪为 CVE-2024-8260（CVSS 得分：6.1/7.3），同时影响到 CLI 和 Windows 版 Go 软件开发工具包（SDK）。该问题的核心是输入验证不当，可能会泄露当前登录到运行 OPA 应用程序的 Windows 设备的用户的 Net-NTLMv2 哈希值，从而导致未经授权的访问。然而，要实现这一点，受害者必须能够通过 445 端口启动出站服务器消息块 (SMB) 流量。造成中等严重程度的其他一些先决条件如下在环境中的初始立足点，或对用户实施社会工程，为执行 OPA CLI 铺平道路将通用命名约定 (UNC) 路径而非 Rego 规则文件作为参数传递给 OPA CLI 或 OPA Go 库函数以这种方式获取的凭据可被用来发动中继攻击，以绕过身份验证，或执行离线破解以提取密码。Tenable 安全研究员 Shelly Raban 说：“当用户或应用程序试图访问 Windows 上的远程共享时，它会强制本地计算机通过 NTLM 向远程服务器进行身份验证。”“在此过程中，本地用户的 NTLM 哈希值会被发送到远程服务器。攻击者可以利用这一机制捕获凭证，从而中继身份验证或离线破解哈希值。”继 2024 年 6 月 19 日负责任地披露之后，该漏洞已在 2024 年 8 月 29 日发布的 0.68.0 版本中得到解决。该公司指出：“随着开源项目被集成到广泛的解决方案中，确保它们的安全性并避免供应商及其客户面临更大的攻击面至关重要。此外，企业必须尽量减少服务的公开曝光，除非绝对有必要保护其系统。”就在Akamai披露这一漏洞的同时，微软远程注册服务（Microsoft Remote Registry Service，CVE-2024-43532，CVSS评分：8.8）中的一个权限升级漏洞也被曝光，该漏洞可允许攻击者通过NTLM中继获得SYSTEM权限。在 2024 年 2 月 1 日报告该漏洞后，该科技巨头已于本月早些时候对其进行了修补。Akamai 研究员 Stiv Kupchik 说：“该漏洞滥用了 WinReg [RPC] 客户端实现中的回退机制，如果 SMB 传输不可用，它就会不安全地使用过时的传输协议。”“通过利用这一漏洞，攻击者可以将客户端的 NTLM 身份验证详细信息转发给 Active Directory 证书服务（ADCS），并请求用户证书，以便在域中进一步进行身份验证。”微软并没有忽视 NTLM 易受中继攻击的问题，今年 5 月早些时候，微软重申其计划在 Windows 11 中淘汰 NTLM，转而使用 Kerberos，作为其加强用户身份验证工作的一部分。Kupchik 说：“虽然现在大多数 RPC 服务器和客户端都是安全的，但仍有可能不时发现不同程度的不安全实施遗迹。“在这种情况下，我们设法实现了 NTLM 中继，这是一类最好属于过去的攻击。”