[하루한줄] CVE-2021-28316: Windows workstation FDE bypass and EOP

URL

Airstrike Attack - FDE bypass and EoP on domain joined Windows workstations (CVE-2021-28316)

Target

  • 도메인에 가입된 Windows 10 host

Explain

와이파이 기능을 가지고 있는 Windows 노트북이나 워크스테이션에 물리적으로 접근 가능할 시 잠금 화면 및 BitLocker Full Disk Encryption을 우회하고 파일 시스템에 대한 접근 권한을 얻을 수 있는 취약점이 발견되었습니다.

Windows 환경에서 도메인 사용자가 MSCHAPv2와 PEAP를 함께 사용하여 무선 액세스 포인트에 인증할 때 resulting challenge response hash는 도메인 사용자의 패스워드의 NTLM 해쉬로부터 파생됩니다. 도메인 사용자 인증뿐만 아니라 컴퓨터 인증을 위한 옵션도 제공합니다. 컴퓨터 인증은 클라이언트 인증서나 MSCHAPv2를 사용하지만 PEAP와 MSCHAPv2를 같이 사용할 경우 도메인 컴퓨터 계정의 NTLM 해쉬가 인증에 사용됩니다. 보통 암호는 복구할 수 없지만 NTLM 해쉬는 crack.sh를 통해 복구할 수 있습니다.

취약점을 악용하는 방법은 다음과 같습니다.

  1. hostapd-mana를 사용하여 내부 인증 방법으로 설정된 MSCHAPv2를 통해 PEAP를 지원하는 액세스 포인트 생성
  2. chapcrack을 사용하여 MSCHAPv2 challenge response hash를 cloud crack 형식으로 변환
  3. Impacketticketer.py과 NTLM hash를 통해 전체 파일 시스템에 액세스

BitLocker Full Disk Encryption을 우회하기 위해서 해커가 제어하는 네트워크에 연결하여 도메인 SID를 얻어야 합니다. hostapd를 사용하여 WPA2-PSK 네트워크를 생성한 후 LDAP ping을 통해 Active Directory Domain name, victim의 host name, 도메인 SID를 얻을 수 있습니다. 그 후 ticketer.py를 사용하면 전체 파일 시스템에 대한 접근 권한을 얻을 수 있습니다.