Уязвимость повышения привилегий, затрагивающая все версии Windows, которая может позволить злоумышленникам получить права администратора домена посредством атаки ретрансляции NTLM, получила неофициальные исправления после того, как Microsoft пометила ее как «не исправимую».
Уязвимость, получившая название RemotePotato0 SentinelOne, исследователи Антонио Кокомацци и Андреа Пьерини, которые обнаружили ее и раскрыли в апреле 2021 года, является уязвимостью нулевого дня (согласно собственному определению Microsoft ), которая еще не получила идентификатор CVE после того, как Редмонд отказался выдать исправить.
Это позволяет злоумышленникам инициировать аутентифицированные вызовы RPC/DCOM и передавать аутентификацию NTLM другим протоколам, что позволяет им повышать привилегии до администратора домена, что, вероятно, позволяет полностью скомпрометировать домен.
«Это позволяет вошедшему в систему злоумышленнику с низким уровнем привилегий запускать одно из нескольких приложений специального назначения в сеансе любого другого пользователя, который также в настоящее время вошел в систему на том же компьютере, и заставить это приложение отправлять хэш NTLM указанного пользователя на IP-адрес. адрес, выбранный злоумышленником», — объяснил соучредитель 0patch Митя Колсек в сообщении блога, в котором он поделился информацией о бесплатных микропатчах, выпущенных для блокировки эксплуатации RemotePotato0 на затронутых серверах.
«Перехватив хэш NTLM от администратора домена, злоумышленник может создать собственный запрос к контроллеру домена, выдавая себя за этого администратора, и выполнить некоторые административные действия, такие как добавление себя в группу администраторов домена».
В то время как злоумышленникам придется обманом заставить домашних пользователей с правами администратора войти в систему во время атаки для успешной эксплуатации.
Однако, как сказал Колсек, это намного проще в системах Windows Server, поскольку одновременно регистрируются несколько пользователей, включая администраторов, что устраняет требование социальной инженерии.
Админам сказали отключить NTLM или правильно настроить серверы
Протокол проверки подлинности Windows NT (New Technology) LAN Manager (NTLM) используется для проверки подлинности удаленных пользователей и обеспечения безопасности сеанса по запросу протоколов приложений.
Kerberos заменил NTLM, текущий протокол аутентификации по умолчанию для устройств, подключенных к домену, для всех Windows 2000 и более поздних версий.
Несмотря на это, NTLM все еще используется на серверах Windows, что позволяет злоумышленникам использовать такие уязвимости, как RemotePotato0, предназначенные для обхода средств защиты от ретрансляционных атак NTLM.
Microsoft сообщила исследователям , что администраторы Windows должны либо отключить NTLM, либо настроить свои серверы для блокировки ретрансляционных атак NTLM с помощью служб сертификации Active Directory (AD CS).
Исследователи «надеются, что MS пересмотрит свое решение не исправлять эту серьезную уязвимость», поскольку RemotePotato0 можно использовать, не требуя взаимодействия с целью, путем ретрансляции аутентификации на другие протоколы, в отличие от аналогичных методов атаки ретрансляции NTLM с использованием таких ошибок, как CVE-2020-1113 и CVE- 2021-1678.
Бесплатное исправление доступно до тех пор, пока Microsoft не предоставит его
Пока Microsoft не решит выпустить обновления безопасности для этой уязвимости, служба микропатчинга 0patch выпустила бесплатные неофициальные патчи (известные как микропатчи).
Компания 0patch разработала микропатчи, используя информацию, которой Cocomazzi и Pierini поделились в своем отчете за апрель 2021 года.
Неофициальные исправления для RemotePotato0 доступны для всех версий Windows от Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019.
Чтобы установить микропатч в вашей системе, сначала необходимо создать учетную запись 0patch, а затем установить агент 0patch.
После запуска агента микропатч будет применен автоматически без перезагрузки, если вы не включили какую-либо пользовательскую корпоративную политику исправления для его блокировки.
Последнее обновление 05.01.2023
