微软拒绝修复影响所有 Windows 版本的 “RemotePotatoo” 提权0day
编译:代码卫士
Sentinel LABS 的研究员 Antonio Cocomazzi 发现了一个影响所有 Windows 版本的提权漏洞,可导致攻击者通过 NTLM 中继攻击获得域管理员权限。他在2021年4月份发现并告知微软,但微软拒绝修复。目前 0patch 平台发布了非官方补丁。
攻击者可利用该漏洞触发经认证的 RPC/DCOM 调用并将 NTLM 认证中继到其它协议,提升至域名管理员,从而完全攻陷域名。0patch 平台的联合创始人 Mitja Kolsek 在文章中解释称,“它可使已登录的低权限攻击者在其它已登录同样计算机的用户会话中启动特殊应用,使该应用将其它用户的 HTLM 哈希发送给攻击者所选的IP地址。通过拦截域管理员的 NTLM 哈希,攻击者可以为域控制器构造请求,假冒管理员并执行管理员操作如将自己添加到域管理员组。“
虽然攻击者必须诱骗具有管理员权限的家庭用户在攻击时登录才能成功实施攻击,但Kolsek 表示由于多个用户如管理员同时登录,因此在 Windows Server 系统上非常简单,无需社工。
Windows NT LAN Manager (NTLM) 认证协议用于认证远程用户,并在app 协议请求时提供会话安全。Kerberos 已为所有的 Windows 2000及后续版本替换了NTLM。尽管如此,Windows 服务器仍然在使用NTLM,使攻击者能够利用RemotePotato0 等漏洞绕过NTLM中继攻击的缓解措施。
微软指出,Windows管理员或者禁用 NTLM 或者使用AD CS 将服务器配置为拦截 NTLM 中继攻击。研究人员“希望微软重新考虑不修复这个严重漏洞的决定“,因为无需用户交互,通过将认证中继到其它协议即可利用 RemotePotato0 漏洞,它不同于利用 CVE-2020-1113和CVE-2021-1678等漏洞的类似的 NTLM 中继攻击技术。
0patch 平台通过Cocomazzi 和 Pierini 在漏洞报告中提交的信息,发布了免费的非官方补丁。
该补丁适用于所有Windows 版本:从Windows 7 到最新Windows 10 版本以及从 Windows Server 2008 到 Windows Server 2019。
微软12月补丁星期二值得关注的6个0day及其它
比雷蛇0day更严重:通过虚拟赛睿外设即获取 Windows 管理员权限
Windows 发布本地提权0day,可以系统权限执行任意代码
Windows PsExec 0day 漏洞获免费微补丁,但仅适用于最新版本
补丁不给力,Windows漏洞 (CVE-2020-0986) 沦为新0day,或于2021年修复
https://www.bleepingcomputer.com/news/security/windows-remotepotato0-zero-day-gets-an-unofficial-patch/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。