«RemotePotato0» — уязвимость безопасности нулевого дня, получает неофициальное исправление после отказа Microsoft

Новая уязвимость безопасности нулевого дня, затрагивающая все распространенные версии операционной системы Windows, получила несколько неофициальных исправлений. Уязвимость, получившая название «RemotePotato0», может позволить потенциальным злоумышленникам повысить свой уровень доступа, фактически предоставив им права администратора домена.

RemotePotato0 был впервые обнаружен исследователями SentinelOne Антонио Кокомацци и Андреа Пьерини. Дуэт сообщил Microsoft об уязвимости в апреле 2021 года. Microsoft признала уязвимость нулевого дня. Однако ошибка не получила CVE ID, как сообщается, потому что Microsoft отказалась ее исправлять.

RemotePotato0 использует ретрансляционную атаку NTLM. Это позволяет злоумышленникам инициировать аутентифицированные вызовы RPC/DCOM. Успешно ретранслируя аутентификацию NTLM другим протоколам, злоумышленники могут предоставить себе повышенные привилегии в целевом домене, фактически сделав их администраторами домена.

Соучредитель 0patch объяснил уязвимость и даже поделился неофициальными патчами для блокировки эксплуатации RemotePotato0 на затронутых серверах.

Это позволяет злоумышленнику с низким уровнем привилегий, вошедшему в систему, запускать одно из нескольких приложений специального назначения в сеансе любого другого пользователя, который также в настоящее время вошел в систему на том же компьютере, и заставить это приложение отправлять хэш NTLM указанного пользователя на IP-адрес выбранный злоумышленником. Перехватив хэш NTLM от администратора домена, злоумышленник может создать собственный запрос к контроллеру домена, выдавая себя за этого администратора, и выполнить некоторые административные действия, такие как добавление себя в группу администраторов домена.

Митя Колсек

Протокол аутентификации NTLM (Windows NT LAN Manager) устарел, и Kerberos уже преуспел в этом. Однако этот протокол по-прежнему широко используется на серверах Windows. Возможно, из-за того, что протокол устарел, Microsoft вместо исправления уязвимости RemotePotato0 посоветовала отключить NTLM или настроить серверы Windows для блокировки ретрансляционных атак NTLM.

Решение Microsoft, возможно, рискованно, поскольку RemotePotato0 можно использовать без необходимости взаимодействия с целью. Следовательно, пока Microsoft не передумает, можно безопасно создать учетную запись 0patch, а затем установить агент 0patch. Платформа подтверждает, что их исправления для RemotePotato0 доступны для всех версий Windows. Охватываются версии ОС от Windows 7 до последней версии Windows 10 и от Windows Server 2008 до Windows Server 2019.