Μια ευπάθεια κλιμάκωσης προνομίων που επηρεάζει όλες τις εκδόσεις των Windows και μπορεί να επιτρέψει στους κακόβουλους παράγοντες να αποκτήσουν δικαιώματα διαχειριστή μέσω μιας επίθεσης αναμετάδοσης NTLM, έχει λάβει ανεπίσημες ενημερώσεις κώδικα.

Δείτε επίσης: Microsoft: Επιδιορθώθηκε wormable ευπάθεια HTTP των Windows

Η ευπάθεια, που ονομάστηκε RemotePotato0, ανακαλύφθηκε από τον ερευνητή της Sentinel LABS, Antonio Cocomazzi και τον Andrea Pierini, το οποίο αποκάλυψαν τον Απρίλιο του 2021.

Επιτρέπει στους εισβολείς να ενεργοποιούν επαληθευμένες κλήσεις RPC/DCOM και να αναμεταδίδουν τον έλεγχο ταυτότητας NTLM σε άλλα πρωτόκολλα, γεγονός που τους επιτρέπει να αυξάνουν τα δικαιώματα στον διαχειριστή domain, επιτρέποντας πιθανότατα την πλήρη παραβίαση του domain.

«Επιτρέπει σε έναν εισβολέα χαμηλών προνομίων που είναι συνδεδεμένος, να εκκινήσει μία από τις πολλές εφαρμογές ειδικού σκοπού στη συνεδρία οποιουδήποτε άλλου χρήστη που είναι επίσης συνδεδεμένος την ίδια στιγμή στον ίδιο υπολογιστή και να αναγκάσει αυτήν την εφαρμογή να στείλει τον κατακερματισμό NTLM του εν λόγω χρήστη σε μια διεύθυνση ΙΡ που επιλέχτηκε από τον εισβολέα», εξήγησε ο συνιδρυτής της 0patch, Mitja Kolsek, σε μια ανάρτηση ιστολογίου.

Οι εισβολείς θα έπρεπε να ξεγελάσουν τους οικιακούς χρήστες με δικαιώματα διαχειριστή για να συνδεθούν τη στιγμή της επίθεσης για επιτυχή εκμετάλλευση.

Ωστόσο, όπως είπε ο Kolsek, αυτό είναι πολύ πιο εύκολο στα συστήματα Windows Server, καθώς πολλοί χρήστες καταγράφονται ταυτόχρονα, συμπεριλαμβανομένων των διαχειριστών, εξαλείφοντας έτσι την απαίτηση social engineering.

Δείτε ακόμα: Ευπάθειες επιτρέπουν σε εισβολείς να ελέγχουν αντλίες χορήγησης φαρμάκων

Το πρωτόκολλο ελέγχου ταυτότητας Windows NT (New Technology) LAN Manager (NTLM) χρησιμοποιείται για τον έλεγχο ταυτότητας απομακρυσμένων χρηστών και για την παροχή ασφάλειας περιόδου λειτουργίας όταν ζητείται από τα πρωτόκολλα εφαρμογών.

Το Kerberos έχει αντικαταστήσει το NTLM, το τρέχον προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας για συσκευές συνδεδεμένες σε domain για όλα τα Windows 2000 και μεταγενέστερα.

Παρόλα αυτά, το NTLM εξακολουθεί να χρησιμοποιείται σε διακομιστές Windows, επιτρέποντας στους εισβολείς να εκμεταλλεύονται ευπάθειες όπως το RemotePotato0 που έχουν σχεδιαστεί για να παρακάμπτει τους μετριασμούς επιθέσεων αναμετάδοσης NTLM.

Η Microsoft είπε στους ερευνητές ότι οι διαχειριστές των Windows θα πρέπει είτε να απενεργοποιήσουν το NTLM είτε να ρυθμίσουν τους διακομιστές τους ώστε να αποκλείουν τις επιθέσεις αναμετάδοσης NTLM χρησιμοποιώντας τις Υπηρεσίες Πιστοποιητικών της Active Directory (AD CS).

Μέχρι να αποφασίσει η Microsoft να εκδώσει ενημερώσεις ασφαλείας για αυτή την ευπάθεια, η υπηρεσία micropatching 0patch έχει κυκλοφορήσει δωρεάν ανεπίσημες ενημερώσεις κώδικα, γνωστές ως micropatches.

Η 0patch έχει αναπτύξει τις επιδιορθώσεις χρησιμοποιώντας πληροφορίες που κοινοποιήθηκαν από τους Cocomazzi και Pierini στην έκθεσή τους τον Απρίλιο του 2021.

Δείτε επίσης: 0Patch: Ενημερώσεις σε Windows 7 & Server 2008 R2 μετά το τέλος υποστήριξης

Οι ανεπίσημες ενημερώσεις κώδικα για το RemotePotato0 είναι διαθέσιμες για όλες τις εκδόσεις των Windows από τα Windows 7 έως την πιο πρόσφατη έκδοση των Windows 10 και από τον Windows Server 2008 έως τον Windows Server 2019.

Για να εγκαταστήσετε το micropatch στο σύστημά σας, θα πρέπει πρώτα να δημιουργήσετε έναν λογαριασμό 0patch και στη συνέχεια να εγκαταστήσετε τον παράγοντα 0patch.

Μετά την εκκίνηση του παράγοντα, το micropatch θα εφαρμοστεί αυτόματα χωρίς επανεκκίνηση, εάν δεν έχετε ενεργοποιήσει καμία εταιρική πολιτική προσαρμοσμένης ενημέρωσης κώδικα για τον αποκλεισμό του.