近日曝光的一個影響所有流行 Windows 操作系統版本的零日漏洞,已收到多個非官方補丁。SentinelOne 研究人員 Antonio Cocomazzi 和 Andrea Pierini 最早發現了這個名為“RemotePotato0”的提權漏洞,並於 2021 年 4 月就向微軟進行了通報。
截圖(via 0patch by ACROS Security)
然而讓人不解的是,儘管微軟承認了這個零日漏洞的存在,卻遲遲未給它分配一個通用漏洞披露(CVE ID)編號,據說是官方拒絕修復。
至於 RemotePotato0 的攻擊原理,其實依賴於 NTLM 中繼,以觸發經過身份驗證的 RPC / DCOM 調用。
通過成功地將 NTLM 身份驗證中繼到其它協議,攻擊者便可在目標系統上為自己提升權限,從而獲得域管理員的相應能力。
0patching the Remote Potato0 Local Privilege Escalation(via)
0patch 聯合創始人Mitja Kolsek 對這個漏洞給出了詳細的解釋,甚至分享了非官方補丁,以阻止在受影響的服務器上的利用。
其允許以低權限登錄的攻擊者,利用同一台計算機上其他用戶會話的 NTLM 哈希,發送 IP 攻擊者指定的地址。
在從域管理員那裡截獲 NTLM 哈希后,攻擊者可通過偽造請求,假裝該管理員身份並執行某些管理操作 —— 比如特權提升。
NTLM 全稱為 Windows NT LAN Manager,作為一個過時的身份驗證協議,其仍被大量 Windows 服務器所採用。
或許正因如此,微軟才懶得為其專門分配一個 CVE 漏洞編號和提供修復,而是建議直接禁用 NTLM、或重新配置 Windows 服務器以阻止此類中繼攻擊。
不過微軟這項決定的風險依然很大,畢竟 RemotePotato0 可在無需與目標交互的情況下被利用。
有鑒於此,第三方強烈建議為從 Windows 7 ~ 10、以及 Server 2008 ~ 2019 的操作系統積極落實漏洞封堵措施。