Una vulnerabilidad de escalada de privilegios que afecta a todas las versiones de Windows y que podría permitir a los actores de amenazas obtener privilegios de administrador de dominio a través de un ataque de retransmisión NTLM recibió parches no oficiales después de que Microsoft lo marcara como «no se parcheará».
la vulnerabilidad, los investigadores llamaron RemotePotato0 SentinelOne Antonio Cocomazzi y Andrea Pierini, que lo encontraron y liberaron en abril de 2021, es un fallo de día cero (según Definición propia de Microsoft) que aún no ha recibido una ID de CVE después de que Redmond se negara a emitir una solución.
Esto hace posible que los atacantes activen llamadas RPC/DCOM autenticadas y transmitan la autenticación NTLM a otros protocolos, lo que les permite elevar los privilegios al administrador del dominio, lo que probablemente permita un compromiso total del dominio.
«Permite que un atacante que haya iniciado sesión con pocos privilegios inicie una de varias aplicaciones de propósito especial en la sesión de cualquier otro usuario que también haya iniciado sesión en la misma computadora y que esa aplicación envíe el hash NTLM de ese usuario a una dirección IP elegido por el invasor», co-fundador de 0patch Mitja Kolsek explicó en una publicación de blog que comparte información sobre microparches gratuitos lanzados para bloquear el exploit RemotePotato0 en los servidores afectados.
«Al interceptar un hash NTLM de un administrador de dominio, un atacante puede crear su propia solicitud al controlador de dominio haciéndose pasar por ese administrador y realizar alguna acción administrativa, como agregarse al grupo de administradores de dominio».
Mientras que los atacantes tendrían que engañar a los usuarios domésticos con privilegios de administrador para que inicien sesión en el momento del ataque para una explotación exitosa.
Sin embargo, como dijo Kolsek, esto es mucho más fácil en los sistemas Windows Server ya que varios usuarios inician sesión simultáneamente, incluidos los administradores, lo que elimina el requisito de ingeniería social.
A continuación se incluye un video de demostración del microparche RemotePotato0 en acción.
Administradores instruidos para deshabilitar NTLM o configurar correctamente los servidores
El protocolo de autenticación LAN Manager (NTLM) de Windows NT (nueva tecnología) se utiliza para autenticar usuarios remotos y proporcionar seguridad de sesión cuando lo requieran los protocolos de aplicación.
Kerberos reemplazó a NTLM, el protocolo de autenticación estándar actual para dispositivos unidos a un dominio para todos los sistemas Windows 2000 y posteriores.
A pesar de esto, NTLM todavía se usa en los servidores de Windows, lo que permite a los atacantes aprovechar vulnerabilidades como RemotePotato0, diseñada para eludir las mitigaciones de los ataques de retransmisión NTLM.
Microsoft le dijo a los investigadores que los administradores de Windows deben deshabilitar NTLM o configure sus servidores para bloquear ataques de retransmisión NTLM utilizando Servicios de certificados de Active Directory (AD CS).
Los investigadores «esperan que MS reconsidere su decisión de no parchear esta grave vulnerabilidad», ya que RemotePotato0 puede explotarse sin requerir la interacción del objetivo, transmitiendo la autenticación a otros protocolos, a diferencia de técnicas de ataque de retransmisión NTLM similares que utilizan errores como. CVE-2020-1113 y CVE-2021-1678.
Parche gratuito disponible hasta que Microsoft proporcione un
Hasta que Microsoft decida emitir actualizaciones de seguridad para esta vulnerabilidad, el servicio de microparche 0parche posee lanzó parches no oficiales gratuitos (conocidos como microparches).
0patch desarrolló los microparches utilizando información compartida por Cocomazzi y Pierini en su informe de abril de 2021.
Los parches no oficiales para RemotePotato0 están disponibles para todas las versiones de Windows, desde Windows 7 hasta la última versión de Windows 10 y Windows Server 2008 hasta Windows Server 2019.
Para instalar el microparche en su sistema, primero tendrá que crear una cuenta 0patch y luego instale el 0 agente corrector.
Después de iniciar el agente, el microparche se aplicará automáticamente sin reiniciar si no ha habilitado ninguna política corporativa de parches personalizados para bloquearlo.
