[하루한줄] CVE-2021-43893: Dropping Files on a Domain Controller

URL

Dropping Files on a Domain Controller Using CVE-2021-43893

Target

Windows Encrypting File System (EFS)

Explain

CVE-2021-43893는 원격 시스템에 임의의 파일을 Write 할 수 있는 취약점입니다. Unconstrained Delegation 기능이 활성화된 시스템을 대상으로 한 forced authentication과 원격 arbitrary-file-write가 접목된 취약점으로 PetitPotam이라는 attack chain에 사용되었습니다.

해당 취약점의 원격 arbitrary-file-write는 2021년 12월에 패치되었지만 forced authentication은 여전히 취약하며 로컬 취약점과 함께 악용한다면 원격 코드 실행이 가능합니다.

해커는 victim windows 컴퓨터에 악성 UNC file path를 포함하는 EfsRpcOpenFileRaw request를 보내는 것으로 victim이 relay attack 서버에 연결해 Net-NTLM 해쉬를 노출할 수 있습니다. \\10.0.0.4\fake_share\fake_file과 같은 악성 UNC file path가 담긴 EfsRpcOpenFileRaw request를 받은 victim은 10.0.0.4 주소로 연결을 시도하면서 account NTLM 해쉬를 노출하게 됩니다.

CVE-2021-43893의 기술적 세부사항은 알려지지 않았으며 공개된 exploit은 없습니다.