Перейти к основному содержанию

Relaying Potatoes — уязвимость повышения привилегий в Windows RCE

Information Seciurity

Новая неожиданная уязвимость повышения привилегий в протоколе Windows RPC. Любой пользователь системы может повысить свои права до уровня доменного администратора. Бдыщь.

Печаль состоит в том, что уязвимость пока не собираются исправлять, текущий статус: "won’t fix". Так что не стоит пускать козлов в свой огород, а то админами станут...

26 апреля 2021 года вышла статья Antonio Cocomazzi и Andrea Pierini:

https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop/

Основные тезисы:

  • ОС Windows уязвима для атаки ретрансляции NTLM, которая позволяет злоумышленнику повысить привилегии от пользователя до администратора домена.
  • Исправления нет.
  • Защититься можно с помощью компенсационных мер, приводимых в статье авторов.

Ретрансляция NTLM — это известный метод, который давно используется злоумышленниками. Несмотря на постоянные исправления с 2001 года, в сценарии MITM для некоторых протоколов без SSL всё еще возможно перехватить сообщения NTLM и ретранслировать аутентификацию на целевой ресурс для повышения привилегий. Обычно ретрансляторам NTLM требуется вмешательство пользователя, поэтому злоумышленнику требуется аутентифицироваться на атакуемом ресурсе, что снижает опасность уязвимости.

security

Теги

 

Похожие материалы

Windows Sandbox — песочница Windows

Компания Microsoft года разработала механизм на основе технологии контейнеризации под названием Песочница, или Windows Sandbox. Данный механизм позволяет запустить в изолированной среде легковесную виртуальную машину. Легковесность обеспечивается тем, что виртуальная машина создастся на лету из файлов вашей текущей ОС Windows.

Теги

Windows — поддержка работы сайтов с российскими сертификатами

Многие учреждения начинают переходить на использование российских сертификатов. Такие сертификаты не поддерживаются обычными браузерами, сайты с таким сертификатом не будут открываться.