CVE-2024-43639: マイクロソフト Window... ノート

CVE-2024-43639: マイクロソフト Windows KDC プロキシーのリモートコード実行

マイクロソフトのWindows Key Distribution Center(KDC)プロキシに脆弱性が発見されました。この脆弱性により、ターゲットサービスに対する任意のコードの実行が可能になります。この脆弱性は、Kerberosレスポンスの長さをチェックしていないことによるものであり、整数オーバーフローにつながる可能性があります。リモートの認証されていない攻撃者は、KDCプロキシを制御下のサーバーにKerberosリクエストを転送するように指示できます。そのサーバーは、改ざんされたKerberosレスポンスを送信します。KDCプロキシは、ネットワークソケットから4バイトを読み取り、Kerberosレスポンスの長さを取得しますが、その長さを検証しません。これにより、整数オーバーフローが発生します。KDCプロキシがフルレスポンスを読み取ろうとしたときに、この脆弱性が発生します。コードフローは、KDCプロキシサーバーとマイクロソフトASN.1ライブラリの関数を交互に実行します。この脆弱性は、改ざんされたKerberosレスポンスをKDCプロキシに送信することで利用できます。KDCプロキシはそれをKDCプロキシメッセージにラップし、クライアントに返します。この脆弱性はマイクロソフトによって修正されており、ユーザーは修正プログラムを適用して悪用を防ぐことを推奨します。この脆弱性は、Microsoft Windows Serverオペレーティングシステムに影響し、リモートで悪用できます。KDCプロキシは、RDPゲートウェイやDirectAccessなどのリモートワークロードを有効にするために使用され、通常はドメインに参加しているマシンで実行されます。
CdXz5zHNQW_Zbm9zDKgFZ.jpeg