关键信息 漏洞概述 漏洞名称: Remote code execution and Local privilege escalation due to NetNTLMv2 hash theft 严重性: Critical (9.5/10) CVE ID: CVE-2024-1243 影响范围 受影响版本: < 4.8.0 修复版本: ≥ 4.8.0 包名: wazuh-agent 漏洞描述 摘要: Wazuh windows agent 存在一个关键安全漏洞,攻击者可以通过配置强制监控攻击者控制的远程 UNC 路径,从而在 NT AUTHORITY\System 用户权限下实现远程代码执行 (RCE) 和本地权限提升。 详细信息: Wazuh agent 的 配置选项不限制使用 UNC 路径(如 SMB、命名管道等)。攻击者可以控制 Wazuh 服务器或拥有代理私钥,强制代理连接到攻击者控制的 SMB 服务器或冒充域账户的命名管道,导致 NetNTLMv2 哈希泄露。 利用方式 PoC: 攻击者通过配置 Wazuh agent 连接到攻击者的 SMB 服务器,拦截 NetNTLMv2 认证哈希。然后伪造证书进行身份验证并在网络中的任何计算机上执行代码。 影响 影响范围: 所有 Windows 版本的 Wazuh agent,最高至 4.7.2。 复杂度: 攻击者需要控制 Wazuh 服务器或获取资产私钥或进行 MITM 网络攻击。 CVSS v4 基础指标 攻击向量: Network 攻击复杂度: High 攻击需求: Present 所需权限: None 用户交互: None 系统影响: Confidentiality, Integrity, Availability 都为 High