近日曝光的一個影響所有流行 Windows 操作系統(tǒng)版本的零日漏洞，已收到多個非官方補丁。SentinelOne 研究人員 Antonio Cocomazzi 和 Andrea Pierini 最早發(fā)現(xiàn)了這個名為“RemotePotato0”的提權(quán)漏洞，并于 2021 年 4 月就向微軟進(jìn)行了通報。

截圖（via 0patch by ACROS Security）

然而讓人不解的是，盡管微軟承認(rèn)了這個零日漏洞的存在，卻遲遲未給它分配一個通用漏洞披露（CVE ID）編號，據(jù)說是官方拒絕修復(fù)。

至于 RemotePotato0 的攻擊原理，其實依賴于 NTLM 中繼，以觸發(fā)經(jīng)過身份驗證的 RPC / DCOM 調(diào)用。

通過成功地將 NTLM 身份驗證中繼到其它協(xié)議，攻擊者便可在目標(biāo)系統(tǒng)上為自己提升權(quán)限，從而獲得域管理員的相應(yīng)能力。

0patch 聯(lián)合創(chuàng)始人Mitja Kolsek 對這個漏洞給出了詳細(xì)的解釋，甚至分享了非官方補丁，以阻止在受影響的服務(wù)器上的利用。

其允許以低權(quán)限登錄的攻擊者，利用同一臺計算機(jī)上其他用戶會話的 NTLM 哈希，發(fā)送 IP 攻擊者指定的地址。

在從域管理員那里截獲 NTLM 哈希后，攻擊者可通過偽造請求，假裝該管理員身份并執(zhí)行某些管理操作 —— 比如特權(quán)提升。

NTLM 全稱為?Windows?NT LAN Manager，作為一個過時的身份驗證協(xié)議，其仍被大量 Windows 服務(wù)器所采用。

或許正因如此，微軟才懶得為其專門分配一個 CVE 漏洞編號和提供修復(fù)，而是建議直接禁用 NTLM、或重新配置 Windows 服務(wù)器以阻止此類中繼攻擊。

不過微軟這項決定的風(fēng)險依然很大，畢竟 RemotePotato0 可在無需與目標(biāo)交互的情況下被利用。

有鑒于此，第三方強(qiáng)烈建議為從 Windows 7 ~ 10、以及 Server 2008 ~ 2019 的操作系統(tǒng)積極落實漏洞封堵措施。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/