聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
攻击者可利用该漏洞触发经认证的 RPC/DCOM 调用并将 NTLM 认证中继到其它协议,提升至域名管理员,从而完全攻陷域名。0patch 平台的联合创始人 Mitja Kolsek 在文章中解释称,“它可使已登录的低权限攻击者在其它已登录同样计算机的用户会话中启动特殊应用,使该应用将其它用户的 HTLM 哈希发送给攻击者所选的IP地址。通过拦截域管理员的 NTLM 哈希,攻击者可以为域控制器构造请求,假冒管理员并执行管理员操作如将自己添加到域管理员组。“
虽然攻击者必须诱骗具有管理员权限的家庭用户在攻击时登录才能成功实施攻击,但Kolsek 表示由于多个用户如管理员同时登录,因此在 Windows Server 系统上非常简单,无需社工。
Windows NT LAN Manager (NTLM) 认证协议用于认证远程用户,并在app 协议请求时提供会话安全。Kerberos 已为所有的 Windows 2000及后续版本替换了NTLM。尽管如此,Windows 服务器仍然在使用NTLM,使攻击者能够利用RemotePotato0 等漏洞绕过NTLM中继攻击的缓解措施。
微软指出,Windows管理员或者禁用 NTLM 或者使用AD CS 将服务器配置为拦截 NTLM 中继攻击。研究人员“希望微软重新考虑不修复这个严重漏洞的决定“,因为无需用户交互,通过将认证中继到其它协议即可利用 RemotePotato0 漏洞,它不同于利用 CVE-2020-1113和CVE-2021-1678等漏洞的类似的 NTLM 中继攻击技术。
0patch 平台通过Cocomazzi 和 Pierini 在漏洞报告中提交的信息,发布了免费的非官方补丁。
该补丁适用于所有Windows 版本:从Windows 7 到最新Windows 10 版本以及从 Windows Server 2008 到 Windows Server 2019。
https://www.bleepingcomputer.com/news/security/windows-remotepotato0-zero-day-gets-an-unofficial-patch/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):微软拒绝修复影响所有 Windows 版本的 “RemotePotatoo” 提权0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论